Catégorie : Utilisation du certificat

Welchen Einfluss hat der Import eines Stammstellenzertifikats in den „Untrusted Certificates“ Speicher auf die Zertifizierungsstelle?

Nachfolgend werden die Auswirkungen auf den Zertifizierungsstellen-Betrieb beschrieben, wenn ein Stammstellenzertifikat, welches eines der Zertifizierungsstellen-Zertifikate einer Zertifizierungsstelle ausgestellt hat, auf der Zertifizierungsstelle in den Speicher für nicht vertrauenswürdige Zertifikate (Untrusted Certificates) importiert wird.

Dieser Fall kann planmäßig eintreten, beispielsweise, wenn eine frühere Zertifizierungsstellen-Hierarchie außer Betrieb genommen werden soll.

Continuer la lecture de « Welchen Einfluss hat der Import eines Stammstellenzertifikats in den „Untrusted Certificates“ Speicher auf die Zertifizierungsstelle? »

Exportieren archivierter privater Schlüssel aus der Zertifizierungsstellen-Datenbank

Wenn die Archivierung privater Schlüssel aktiviert wurde, kann es unter Umständen erforderlich sein, diese Schlüssel aus der Zertifizierungsstellen-Datenbank zu exportieren und in ein anderes Format (PKCS#12, PFX) umzuwandeln, beispielsweise für eine Langzeitarchivierung.

Nachfolgend eine Beschreibung der Vorgehensweise für den Export einzelner oder aller archivierten Schlüssel sowie der Gewinnung der notwendigen Metainformationen.

Continuer la lecture de « Exportieren archivierter privater Schlüssel aus der Zertifizierungsstellen-Datenbank »

Le service d'autorité de certification ne démarre pas et affiche le message d'erreur "A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT)".

Supposons le scénario suivant :

  • Une autorité de certification est mise en œuvre sur le réseau.
  • Le service d'autorité de certification ne démarre pas
  • Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :
A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT)
Continuer la lecture de « Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT)“ »

Consulter et supprimer le cache d'adresses des listes de blocage (CRL URL Cache)

Toutes les applications qui utilisent le Microsoft Cryptographic Application Programming Interface Version 2 (Crypto API Version 2, CAPI2) ont un mécanisme de mise en cache des informations de révocation des certificats (Listes de blocage des certificats et OCSP-réponses).

Il n'est donc pas possible de garantir, par exemple, qu'une liste de blocage nouvellement publiée sera utilisée par les participants avant que la liste de blocage précédente, qui se trouve encore dans la mémoire cache, n'ait expiré.

Nous décrivons ci-dessous comment consulter et influencer le cache de la liste de blocage.

Continuer la lecture de « Den Adress-Zwischenspeicher für Sperrlisten (CRL URL Cache) einsehen und löschen »

Quelle est l'influence de la révocation d'un certificat d'autorité de certification sur l'autorité de certification ?

Les conséquences de la révocation d'un des certificats d'une autorité de certification sur le fonctionnement de l'autorité de certification sont décrites ci-dessous.

Ce cas peut également se produire de manière planifiée, par exemple lorsqu'une hiérarchie d'autorités de certification précédente doit être mise hors service.

Continuer la lecture de « Welchen Einfluss hat der Widerruf eines Zertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle? »

Quelle est l'influence des informations de révocation erronées d'un certificat d'autorité de certification sur l'autorité de certification ?

Les conséquences sur le fonctionnement de l'autorité de certification de l'impossibilité de récupérer les informations de verrouillage pour l'un des certificats d'autorité de certification de l'autorité de certification sont décrites ci-dessous.

Ce cas peut également se produire de manière planifiée, par exemple lorsqu'une hiérarchie d'autorités de certification précédente doit être mise hors service.

Continuer la lecture de « Welchen Einfluss haben fehlerhafte Sperrinformationen eines Zertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle? »

Quel est l'impact du retrait du statut de confiance d'un certificat d'autorité de certification racine sur l'autorité de certification ?

Les conséquences sur le fonctionnement de l'autorité de certification sont décrites ci-dessous si l'un des certificats d'autorité de certification racine dont est issu l'un des certificats d'autorité de certification se voit retirer son statut de confiance ou n'a jamais eu ce statut.

Ce cas peut également se produire de manière planifiée, par exemple lorsqu'une hiérarchie d'autorités de certification précédente doit être mise hors service.

Continuer la lecture de « Welchen Einfluss hat der Entzug des Vertrauensstatus eines Stammzertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle? »

Le service d'autorité de certification ne démarre pas et affiche le message d'erreur "A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING)".

Supposons le scénario suivant :

  • Une autorité de certification est mise en œuvre sur le réseau.
  • Le service d'autorité de certification ne démarre pas
  • Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :
A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING)
Continuer la lecture de « Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING)“ »

La demande de certificat échoue avec le message d'erreur "The certificate request could not be submitted to the certification authority. Error : The RPC server is unavailable. 0x800706ba (WIN32 : 1722 RPC_S_SERVER_UNAVAILABLE)"

Supposons le scénario suivant :

  • Un utilisateur ou un ordinateur demande un certificat auprès d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • La demande de certificat échoue avec le message d'erreur suivant :
The certificate request could not be submitted to the certification authority. Error: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „The certificate request could not be submitted to the certification authority. Error: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)“ »

La demande de certificat échoue avec le message d'erreur "Cannot archive private key. The certification authority could not verify one or more key recovery certificates. 0x8009400b (-2146877429 CERTSRV_E_NO_VALID_KRA)"

Supposons le scénario suivant :

  • Un utilisateur demande un certificat à une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • Le modèle de certificat est configuré pour l'archivage des clés privées.
  • La demande de certificat échoue avec le message d'erreur suivant :
Cannot archive private key. The certification authority could not verify one or more key recovery certificates. 0x8009400b (-2146877429 CERTSRV_E_NO_VALID_KRA)
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „Cannot archive private key. The certification authority could not verify one or more key recovery certificates. 0x8009400b (-2146877429 CERTSRV_E_NO_VALID_KRA)“ »

Description des paramètres de configuration nécessaires pour le profil de certificat "Common PKI".

Vous trouverez ci-dessous une description des paramètres de configuration nécessaires pour qu'une hiérarchie de certificats basée sur les services de certificats Active Directory soit conforme à la norme „ Common PKI “ (anciennement connue sous le nom d'ISIS-MTT).

Continuer la lecture de « Beschreibung der notwendigen Konfigurationseinstellungen für das „Common PKI“ Zertifikatprofil »

Activer le protocole Secure Sockets Layer (SSL) pour l'enregistrement web de l'autorité de certification (CAWE)

Dans la configuration standard, le Certificate Authority Web Enrollment (CAWE) n'accepte que les connexions non cryptées via HTTP. Il est conseillé de configurer le CAWE pour HTTP via TLS (HTTPS) afin de rendre l'enregistrement du trafic réseau plus difficile. Vous trouverez ci-dessous des instructions à ce sujet.

Continuer la lecture de « Secure Sockets Layer (SSL) für die Zertifizierungsstellen-Webregistrierung (CAWE) aktivieren »

Utiliser l'assurance du mécanisme d'authentification (AMA) pour sécuriser la connexion des comptes administratifs

L'assurance du mécanisme d'authentification (AMA) est une fonction qui doit garantir qu'un utilisateur n'est membre d'un groupe de sécurité que s'il s'est connecté avec une méthode d'authentification forte (c'est-à-dire une carte à puce). Si l'utilisateur se connecte à l'aide d'un nom d'utilisateur et d'un mot de passe, il ne peut pas accéder aux ressources demandées.

Conçu à l'origine pour l'accès aux serveurs de fichiers, l'AMA peut toutefois être utilisé (avec quelques restrictions) pour la connexion administrative. Ainsi, il serait par exemple envisageable qu'un utilisateur soit non privilégié s'il se connecte avec un nom d'utilisateur et un mot de passe, et qu'il dispose de droits administratifs s'il se connecte avec un certificat.

Continuer la lecture de « Verwenden von Authentication Mechanism Assurance (AMA) für die Absicherung der Anmeldung administrativer Konten »

La connexion via carte à puce échoue avec le message d'erreur "Signing in with a security device isn't supported for your account".

Supposons le scénario suivant :

  • Un utilisateur dispose d'un Connexion par carte à puce et se connecte au domaine Active Directory avec ce certificat.
  • La connexion échoue. Le message d'erreur suivant est renvoyé à l'utilisateur sur son ordinateur :
Signing in with a security device isn't supported for your account. For more info, contact your administrator.
Continuer la lecture de « Die Anmeldung via Smartcard schlägt fehl mit Fehlermeldung „Signing in with a security device isn’t supported for your account.“ »

Suppression d'une politique de demande de certificat (Enrollment Policy) configurée manuellement

Si vous travaillez avec les Certificate Enrollment Web Services et que vous inscrivez manuellement des politiques d'enregistrement de certificats (Enrollment Policies) sur des ordinateurs clients, vous êtes confronté au phénomène suivant : il n'existe aucune possibilité de les modifier ou de les supprimer dans la console de gestion des certificats.

Continuer la lecture de « Löschen einer manuell konfigurierten Zertifikatbeantragungs-Richtlinie (Enrollment Policy) »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais