Catégorie : Utilisation du certificat

Chrome et Safari limitent les certificats SSL à un an de validité

Apple a récemment annoncé que le navigateur Safari n'acceptera désormais plus que les certificats d'une durée de validité de 398 jours, à condition qu'ils aient été émis à partir du 1er septembre 2020.

Mozilla et Google souhaitent implémenter un comportement similaire dans leurs navigateurs. La question se pose donc de savoir si cette modification aura des répercussions sur les autorités de certification internes, c'est-à-dire si, à l'avenir, les certificats SSL internes devront également respecter ces règles, comme c'est le cas par exemple pour l'application du RFC 2818 comme cela a été le cas avec Google.

Continuer la lecture de « Chrome und Safari limitieren SSL Zertifikate auf ein Jahr Gültigkeit »

Plus qu'un nom commun (Common Name, CN) dans le certificat

De nos jours, cela relève davantage de la curiosité que de la pratique, mais il arrive parfois que l'on reçoive des demandes de certificats contenant plus d'un nom commun (Common Name) dans l'objet (Subject). Même si cela peut paraître étonnant, cela est tout à fait possible et conforme à la norme RFC.

Continuer la lecture de « Mehr als ein gemeinsamer Name (Common Name, CN) im Zertifikat »

Überprüfen der Verbindung zum privaten Schlüssel eines Zertifikate (z.B. bei Einsatz eines Hardware Security Moduls)

Für einen Fuktionstest, oder bei einer Fehlersuche kann es sinnvoll sein, zu überprüfen, ob der private Schlüssel eines Zertifikats verwendbar ist. Ist der Schlüssel beispielsweise mit einem Hardware Security Modul (HSM) gesichert, gibt es deutlich mehr Abhängigkeiten und Möglichkeiten für Fehler als bei einem Software-Schlüssel.

Continuer la lecture de « Überprüfen der Verbindung zum privaten Schlüssel eines Zertifikate (z.B. bei Einsatz eines Hardware Security Moduls) »

Planification de la validité des certificats et de la période de renouvellement des certificats d'entité finaux avec auto-enrollment

Wird Autoenrollment verwendet, beantragen die Teilnehmer selbständig Zertifikate und erneuern diese auch selbständig.

Betreffend der Gültigkeit der Zertifikate und des Zeitraums für ihre automatische Erneuerung gibt es zwei Werte, die im Karteireiter „General“ einer Zertifiikatvorlage konfiguriert werden können:

  • Gültigkeitszeitraum (Validity period): Beschreibt die Gesamt-Gültigkeit des ausgestellten Zertifikats.
  • Erneuerungszeitraum (Renewal period): Beschreibt, ab welchem Zeitfenster, rückwärts betrachtet vom Ablaufdatum des Zertifikats, die automatische Erneuerung erstmals versucht wird (z.B. 6 Wochen vor Ablauf).
Continuer la lecture de « Planung von Zertifikat-Gültigkeit und Erneuerungs-Zeitraum von End-Entitäts-Zertifikaten mit Autoenrollment »

Les certificats de contrôleur de domaine ne contiennent pas le nom de domaine dans le Subject Alternative Name (SAN).

Supposons le scénario suivant :

  • Les certificats pour les contrôleurs de domaine sont émis par une autorité de certification intégrée à Active Directory (Enterprise CA).
  • Le modèle de certificat utilisé à cet effet a été créé par nos soins.
  • Les certificats émis contiennent uniquement le nom complet de l'ordinateur du contrôleur de domaine correspondant dans le champ Subject Alternative Name (SAN), mais pas le nom complet et le nom NETBIOS du domaine.
Continuer la lecture de « Zertifikate für Domänencontroller enthalten nicht den Domänennamen im Subject Alternative Name (SAN) »

La demande de certificat d'autorité de certification échoue avec le message d'erreur „The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)“.“

Supposons le scénario suivant :

  • Un certificat d'autorité de certification est demandé à une autorité de certification.
  • La demande de certificat échoue avec le message d'erreur suivant :
The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)
Denied by Policy Module
Continuer la lecture de « Die Beantragung eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung „The certification authority’s certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)“ »

Configurer la contrainte de longueur de chemin (Path Length Constraint) pour les certificats émis par une autorité de certification

Pour renforcer le contrôle sur les certificats pouvant être délivrés par une autorité de certification, il est possible de mettre en place une restriction de longueur de chemin (Path Length Constraint) afin que les autorités de certification situées au-dessus d'un certain niveau hiérarchique ne puissent plus délivrer de certificats d'autorité de certification subordonnés.

Pour une explication du fonctionnement de la limitation de la longueur du chemin, voir l'article „ Principes fondamentaux : contrainte de longueur de chemin (Path Length Constraint) “.

Continuer la lecture de « Einschränkung der Pfadlänge (Path Length Constraint) für von einer Zertifizierungsstelle ausgestellte Zertifikate konfigurieren »

Configurer un modèle de certificat pour les certificats Remote Desktop (RDP)

Für die Verwendung von Remotedesktop-Zertifikaten ist es erforderlich, eine entsprechende Zertifikatvorlage zu konfigurieren.

Continuer la lecture de « Konfigurieren einer Zertifikatvorlage für Remotedesktop (RDP) Zertifikate »

Identification du certificat Remote Desktop (RDP) actif

Si l'on a une Modèle de certificat pour les certificats de bureau à distance et une Politique de groupe correspondante configuré, ou Attribuer manuellement un certificat de bureau à distance, il peut être utile de vérifier que les certificats sont correctement utilisés par l'hôte de session Bureau à distance sur les ordinateurs participants.

Continuer la lecture de « Identifizieren des aktiven Remotedesktop (RDP) Zertifikats »

Configuration d'une stratégie de groupe (GPO) pour les certificats RDP (Remote Desktop Protocol)

Une fois qu'un modèle de certificat a été configuré pour la distribution de certificats de bureau à distance (voir l'article „Configurer un modèle de certificat pour les certificats Remote Desktop (RDP)„), une stratégie de groupe est également nécessaire pour demander aux ordinateurs participants d'utiliser les certificats provenant du modèle.

Continuer la lecture de « Konfigurieren einer Gruppenrichtlinie (GPO) für Remotedesktop (RDP) Zertifikate »

Récupération d'un certificat d'autorité de certification avec le module de sécurité matériel (HSM)

La procédure suivante décrit la restauration d'un certificat d'autorité de certification à l'aide d'une clé logicielle.

La restauration du certificat de l'autorité de certification peut être nécessaire pour les raisons suivantes :

Continuer la lecture de « Wiederherstellung eines Zertifizierungsstellenzertifikats mit Hardware Security Modul (HSM) »

Récupération d'un certificat d'autorité de certification avec une clé logicielle

La procédure suivante décrit la restauration d'un certificat d'autorité de certification à l'aide d'une clé logicielle.

La restauration du certificat de l'autorité de certification peut être nécessaire pour les raisons suivantes :

Continuer la lecture de « Wiederherstellung eines Zertifizierungsstellenzertifikats mit Software-Schlüssel »

Quelle est l'influence de l'expiration d'un certificat d'organisme de certification sur l'organisme de certification ?

Zertifizierungsstellen-Zertifikate haben ein definiertes Anfangs- und Enddatum, sodass es während des Lebenszyklus einer Zertifizierungsstelle unausweichlich ist, dass Zertifizierungsstellen-Zertifikate ablaufen.

Nachfolgend werden die Auswirkungen eines ablaufenden Zertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle beschrieben.

Continuer la lecture de « Welchen Einfluss hat der Ablauf eines der Zertifizierungsstellen-Zertifikate auf die Zertifizierungsstelle? »

Alle für eine Zertifikatvorlage ausgestellten Zertifikate automatisch von den Zertifikatinhabern erneuern lassen

Beim Betrieb einer Zertifizierungsstelle kann es vorkommen, dass alle ausgestellten Zertifikate für eine bestimmte Zertifikatvorlage erneuert werden müssen, beispielsweise aufgrund größerer Konfigurationsänderungen oder Wechsel der ausstellenden Zertifizierungsstelle. Nachfolgend wird ein Mechanismus beschrieben, mit dem dies automatisiert erreicht werden kann.

Continuer la lecture de « Alle für eine Zertifikatvorlage ausgestellten Zertifikate automatisch von den Zertifikatinhabern erneuern lassen »

Welchen Einfluss hat der Ablauf der Sperrliste einer der übergeordneten Zertifizierungsstellen auf die Zertifizierungsstelle?

Leider kommt es in der Praxis hin und wieder vor, dass die Sperrliste einer übergeordneten Zertifizierungsstelle abläuft und eine Erneuerung ausbleibt. Auch kann dies planmäßig, etwa bei Außerbetriebnahme einer alten Hierarchie geschehen.

Continuer la lecture de « Welchen Einfluss hat der Ablauf der Sperrliste einer der übergeordneten Zertifizierungsstellen auf die Zertifizierungsstelle? »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais