Catégorie : Utilisation du certificat

Principes de base : procédures d'authentification pour les services d'information Internet (IIS)

Les services de certificats Active Directory offrent une série d'interfaces supplémentaires basées sur le web (Service d'enregistrement des périphériques réseau (NDES), Service de politique d'enregistrement des certificats (CEP), Service web d'enregistrement des certificats (CES), Enregistrement web des autorités de certification (CAWE).

Les Microsoft Internet Information Services (IIS) sont donc pratiquement indispensables pour une ICP Microsoft. Chacune des interfaces basées sur le web (ainsi que les développements propres) présente ses propres défis en termes de procédures d'authentification et d'implémentation.

L'article suivant a pour but d'apporter un peu de clarté sur le sujet.

Continuer la lecture de « Grundlagen: Authentisierungsverfahren für die Internet Information Services (IIS) »

Modifications apportées à l'émission de certificats et à l'ouverture de session basée sur des certificats dans Active Directory par le correctif pour Windows Server du 10 mai 2022 (KB5014754)

Avec le correctif du 10 mai 2022, Microsoft tente de combler une faille de sécurité dans le Active Directory dans laquelle l'inscription basée sur un certificat (généralement connue sous le nom de PKINIT ou encore de Connexion par carte à puce).

La mise à jour modifie à la fois le comportement Autorité de certification que le comportement d'Active Directory lors du traitement des inscriptions basées sur des certificats.

Continuer la lecture de « Änderungen an der Zertifikatausstellung und an der zertifikatbasierten Anmeldung am Active Directory mit dem Patch für Windows Server vom 10. Mai 2022 (KB5014754) »

Sélection de l'identité pour le pool d'applications IIS du service d'enregistrement des périphériques réseau (NDES)

Lors de l'installation d'un service d'enregistrement de périphériques réseau (NDES), la question se pose de savoir sous quelle identité le pool d'applications IIS doit être exploité. Les différentes options sont présentées ci-dessous afin de faciliter le choix.

Continuer la lecture de « Auswahl der Identität für den IIS Anwendungspool des Registrierungsdienstes für Netzwerkgeräte (NDES) »

Sur l'option "Build this from Active Directory information" pour les modèles de certificats

Lors de la configuration d'un modèle de certificat, il faut décider du contenu prévu du certificat, c'est-à-dire, entre autres, quelles identités seront confirmées par les certificats et comment ceux-ci seront représentés.

L'onglet "Subject Name" de la boîte de dialogue de configuration des modèles de certificats permet de configurer la manière dont l'identité confirmée par le certificat est représentée.

Continuer la lecture de « Zur Option „Build this from Active Directory information“ bei Zertifikatvorlagen »

La vérification des certificats du contrôleur de domaine renvoie le code d'erreur ERROR_ACCESS_DENIED

Supposons le scénario suivant :

  • certutil permet de vérifier les certificats des contrôleurs de domaine.
  • L'opération échoue avec le message d'erreur suivant :
0: DC01

*** Testing DC[0]: DC01
Enterprise Root store: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
KDC certificates: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)

CertUtil: -DCInfo command FAILED: 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
CertUtil: Access is denied.
Continuer la lecture de « Die Überprüfung der Domänencontroller-Zertifikate wirft den Fehlercode ERROR_ACCESS_DENIED »

Principes de base : Automatic Certificate Management Environment (ACME)

Le protocole ACME a été développé par les opérateurs du projet Let's Encrypt conçu pour faciliter l'exposition de Certificats de serveur web d'automatiser le processus. Il est spécifié dans RFC 8555.

L'objectif est de faciliter le processus de preuve de la possession de la ressource DNS (les adresses IP ne peuvent pas être identifiées pour l'instant, mais cela est prévu pour l'avenir), mais aussi d'améliorer la sécurité des données. pas de la personne ou de l'organisation qui se trouve derrière, afin de pouvoir ensuite obtenir un certificat de serveur web sans interaction humaine.

Continuer la lecture de « Grundlagen: Automatic Certificate Management Environment (ACME) »

La demande de certificats avec des clés basées sur des courbes elliptiques échoue lors de l'utilisation du Microsoft Platform Crypto Provider

Supposons le scénario suivant :

Error: The requested operation is not supported. 0x80090029 (-2146893783 NTE_NOT_SUPPORTED)

Sur Windows Server 2016, le message d'erreur "No provider was specified for the store or object. 0x80092006 (-2146885626 CRYPT_E_NO_PROVIDER)" est affiché alors que le comportement est sinon identique.

Continuer la lecture de « Die Beantragung von Zertifikaten mit auf elliptischen Kurven basierenden Schlüsseln schlägt fehl, wenn der Microsoft Platform Crypto Provider verwendet wird »

Principes de base : les courbes elliptiques en vue de leur utilisation dans l'infrastructure à clé publique

Avec Windows Vista et Windows Server 2008, la Cryptography API : Next Generation (CNG) a été introduite dans les systèmes Windows.

Ce terme désigne un ensemble de fonctions cryptographiques modernes. Entre autres, le CNG permet l'utilisation de certificats utilisant des clés basées sur des courbes elliptiques (également appelées Elliptic Curve Cryptography, ECC) avec l'autorité de certification Microsoft et le système d'exploitation Windows.

Continuer la lecture de « Grundlagen: Elliptische Kurven in Hinsicht auf ihre Verwendung in der Public Key Infrastruktur »

Microsoft Outlook : les messages électroniques signés sont rejetés par le serveur de messagerie destinataire avec le message d'erreur "Invalid S/MIME encrypted message".

Supposons le scénario suivant :

  • Un utilisateur envoie un message électronique signé avec Secure/Multipurpose Internet Mail Extensions (S/MIME).
  • L'expéditeur utilise Microsoft Outlook pour Macintosh.
  • Le serveur de messagerie destinataire rejette le message et renvoie un rapport de non-livraison (NDR) :
550 5.6.0 M2MCVT.StorageError.Exception: ConversionFailedException - , Content conversion: Invalid S/MIME encrypted message.; storage error in content conversion.
Continuer la lecture de « Microsoft Outlook: Signierte E-Mail Nachrichten werden vom empfangenden Mailserver abgelehnt mit Fehlermeldung „Invalid S/MIME encrypted message.“ »

Recherche des causes : l'outil Snipping et d'autres composants de Windows 11 ne sont plus utilisables en raison de l'expiration du certificat

Aujourd'hui est allé sur par beaucoup de Médiasque certaines applications et certains composants du tout récent Windows 11 ne fonctionnent plus depuis le 01.11.2021 et que la cause en est un certificat qui a expiré le 31.10.2021. Entre-temps, Microsoft a dans un billet de blog et aussi un correctif pour certains composants concernés publié.

Leider gab es aber in keiner der verfügbaren Quellen detaillierte Informationen darüber, was genau das Problem war. Gehen wir der Sache somit selbst auf den Grund.

Continuer la lecture de « Ursachenforschung: Snipping Tool und weitere Komponenten in Windows 11 wegen abgelaufenem Zertifikat nicht mehr benutzbar »

L'attribution manuelle d'un certificat Remote Desktop échoue avec le message d'erreur "Invalid parameter".

Supposons le scénario suivant :

Set-WMIInstance : Invalid parameter
 At line:1 char:1
 Set-WMIInstance -path $TerminalServicesConfig.__path -argument @{SSLC …
 ~~~~~~~~~~~~~~~~~ CategoryInfo          : InvalidOperation: (:) [Set-WmiInstance], ManagementException
 FullyQualifiedErrorId : SetWMIManagementException,Microsoft.PowerShell.Commands.SetWmiInstance
Continuer la lecture de « Die manuelle Zuweisung eines Remotedesktop-Zertifikats schlägt fehl mit Fehlermeldung „Invalid parameter“ »

Les signatures de code des paquets Appx via SignTool.exe échouent avec le code d'erreur 0x8007000b (ERROR_BAD_FORMAT)

Supposons le scénario suivant :

  • Un paquet Appx doit être signé.
  • Pour cela, la SignTool.exe est utilisé.
  • Le certificat de signature de code utilisé a été récemment renouvelé.
  • Le processus de signature avec le nouveau certificat de signature de code échoue avec le message d'erreur suivant :
"Error: SignerSign() failed." (-2147024885/0x8007000b)
Continuer la lecture de « Codesignaturen von Appx Paketen per SignTool.exe schlagen fehl mit Fehlercode 0x8007000b (ERROR_BAD_FORMAT) »

Délivrer des certificats avec une durée de validité raccourcie

Il est parfois nécessaire d'émettre des certificats avec une durée de validité plus courte que celle configurée dans le modèle de certificat. C'est peut-être pour cela que l'on ne souhaite pas reconfigurer immédiatement le modèle de certificat ou créer un autre modèle de certificat.

Continuer la lecture de « Zertifikate mit verkürzter Gültigkeitsdauer ausstellen »

Les certificats d'autorité racine sont importés dans la liste de certificats d'autorité de certification intermédiaire des membres du domaine.

Certains auront sans doute remarqué que la liste de certificats pour les autorités de certification intermédiaires contient généralement aussi des certificats pour les autorités de certification racines.

En règle générale, ce comportement n'est pas critique. Dans certains cas cela peut toutefois entraîner des problèmes avec les applications.

Continuer la lecture de « Stammstellen-Zertifikate werden auf Domänenmitgliedern in den Zertifikatspeicher für Zwischenzertifizierungsstellen importiert »

Principes de base : l'extension du certificat Key Usage

Les extensions de certificat ont été introduites avec la version 3 de la norme X.509. L'extension Key Usage est une extension de certificat optionnelle qui peut être utilisée dans le RFC 5280 et sert à limiter les utilisations autorisées d'une clé.

Continuer la lecture de « Grundlagen: Die Key Usage Zertifikaterweiterung »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais