Catégorie : Autorité de certification

Abfrage der konfigurierten RPC-Endpunkte einer Zertifizierungsstelle

In der Standardkonfiguration ist die Zertifikatbeantragungs-Schnittstelle der Zertifizierungsstelle darauf konfiguriert, dynamische Ports für die eingehenden RPC/DCOM Verbindungen auszuhandeln (näheres siehe Artikel „Règles de pare-feu requises pour Active Directory Certificate Services„ ).

Es ist jedoch auch möglich, die Zertifizierungsstelle auf einen statischen Port zu konfigurieren (siehe Artikel „Configuration de l'autorité de certification sur un port statique (point de terminaison RPC)„ ).

Nachfolgend wird beschrieben, wie die aktuelle Konfiguration der Zertifizierungsstelle überprüft werden kann.

Continuer la lecture de « Abfrage der konfigurierten RPC-Endpunkte einer Zertifizierungsstelle »

Classification des composants ADCS dans le modèle hiérarchique administratif (Administrative Tiering Model)

Si, outre les services de certificats Active Directory, on implémente également le modèle de stratification administrative (Administrative Tiering Model) pour le service d'annuaire Active Directory, la question se pose alors de l'affectation des différents composants PKI dans ce modèle afin de pouvoir procéder à un renforcement ciblé de la sécurité.

Continuer la lecture de « Einordnung der ADCS-Komponenten in das administrative Schichtenmodell (Administrative Tiering Model) »

Envoyer une demande de certificat créée manuellement à une autorité de certification

Liegt eine Zertifikatanforderung, beispielsweise nach manueller Erzeugung, in Form einer Textdatei (üblicherweise mit Endung .CSR oder .REQ) vor, kann diese mit Bordmitteln an die Zertifizierungsstelle gesendet werden.

Continuer la lecture de « Eine manuell erstellte Zertifikatanforderung an eine Zertifizierungsstelle senden »

Problèmes de performance lors de l'audit des "Start and stop Active Directory Certificate Services

Bei der Konfiguration der Auditierungseinstellungen einer Zertifizierungsstelle ist man geneigt, die Option „Start and Stop Active Directory Certificate Services“ auszuwählen. Diese Option kann unter Umständen jedoch zu Problemen führen.

Continuer la lecture de « Performanceprobleme bei Auditierung von „Start and stop Active Directory Certificate Services“ »

Mehr als ein gemeinsamer Name (Common Name, CN) im Zertifikat

Heutzutage eher eine Kuriosität als wirklich praxisrelevant, aber es kommt hin und wieder vor, dass man Zertifikatanforderungen erhält, welche mehr als einen gemeinsamen Namen (Common Name) im Betreff (Subject) beinhalten. Auch wenn es erstaunlich wirken mag, dies ist durchaus möglich und auch RFC-konform.

Continuer la lecture de « Mehr als ein gemeinsamer Name (Common Name, CN) im Zertifikat »

Le module SMTP Exit ne fonctionne pas sur Windows Server Core

Supposons le scénario suivant :

  • Es wird eine Zertifizierungsstelle auf Windows Server Core installiert.
  • Es wird das mit der Zertifizierungsstelle mitgelieferte SMTP Module de sortie konfiguriert.
  • Die Zertifizierungsstelle versendet jedoch keine E-Mails.
  • Im Ereignisprotokoll wird das Événement n° 46 mit folgender Fehlermeldung protokolliert:
The "Windows default" Exit Module "Initialize" method returned an error. Class not registered The returned status code is 0x80040154 (-2147221164). The Certification Authority was unable to initialize email messaging objects.
Continuer la lecture de « Das SMTP Exit Modul funktioniert nicht auf Windows Server Core »

Die Beantragung eines bestimmten Signaturschlüssels auf einer Zertifizierungsstelle erlauben

Die Microsoft-Zertifizierungsstelle signiert Zertifikate immer mit dem zum aktuellsten Zertifizierungsstellen-Zertifikat gehörenden Schlüssel. Das Signaturzertifikat für eine OCSP-Antwort sollte gemäß RFC 6960 jedoch vom gleichen Schlüssel signiert werden, wie das zu überprüfende Zertifikat:

The CA SHOULD use the same issuing key to issue a delegation certificate as that used to sign the certificate being checked for revocation.

https://tools.ietf.org/html/rfc6960#section-4.2.2.2

Wird das Zertifizierungsstellen-Zertifikat erneuert und dabei ein neues Schlüsselpaar verwendet, ist es jedoch erforderlich, dass der Onlineresponder weiterhin gültige Signaturzertifikate für die mit dem vorigen Zertifizierungsstellen-Zertifikat ausgestellten Zertifikate vorhält, da diese schließlich weiterhin gültig sind und auf Sperrung überprüft werden müssen.

Continuer la lecture de « Die Beantragung eines bestimmten Signaturschlüssels auf einer Zertifizierungsstelle erlauben »

Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „The system cannot find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)“

Supposons le scénario suivant :

  • Une demande de certificat est envoyée à une autorité de certification.
  • La demande de certificat échoue avec le message d'erreur suivant :
Error Parsing Request The system cannot find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „The system cannot find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)“ »

Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA).“

Supposons le scénario suivant :

  • Un utilisateur envoie une demande de certificat à une autorité de certification.
  • La demande de certificat échoue avec le message d'erreur suivant :
Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA).
Denied by Policy Module.
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA).“ »

Matrice de migration Windows Server pour l'autorité de certification

Spätestens, wenn das Fin du support du produit par le fabricant (Microsoft) naht, stellt sich die Frage, wie und auf welches Betriebssystem eine Zertifizierungsstelle migriert werden soll.

Continuer la lecture de « Windows Server Migrations-Matrix für die Zertifizierungsstelle »

Migration d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) vers un autre serveur

Oftmals lebt eine Zertifizierungsstelle deutlich länger, als der Server, auf welchem sie installiert wurde. Gründe für eine Migration der Zertifizierungsstelle auf einen neuen Server, d.h. unter Beibehaltung der Daten, können sein:

  • Defekt oder Ende der Lebensdauer der Server-Hardware
  • Ende der Lebensdauer des Server-Betriebssystems
  • Änderung des Server-Namens

Nachfolgend wird die Vorgehensweise für die Migration im Detail beschrieben.

Continuer la lecture de « Migration einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) auf einen anderen Server »

Fin du support du produit par le fabricant (Microsoft)

Jedes Windows Server Betriebssystem hat ein definiertes Enddatum, ab welchem es seitens des Herstellers keine Produktunterstützung mehr gibt. Auch Zertifizierungsstellen sind an dieses Datum gebunden, und sollten daher bereits vor Ablauf dieses Datums migriert werden.

Continuer la lecture de « Ende der Produkt-Unterstützung durch den Hersteller (Microsoft) »

Le service d'autorité de certification ne démarre pas et renvoie le message d'erreur "Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)".

Supposons le scénario suivant :

  • Une autorité de certification est mise en œuvre sur le réseau.
  • Le service d'autorité de certification ne démarre pas
  • Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :
Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)
Continuer la lecture de « Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)“ »

Configuration de la surveillance des événements de sécurité (paramètres d'audit) pour les autorités de certification

Contrairement aux événements d'exploitation, qui sont souvent compris sous le terme de „monitoring“, l'audit pour l'autorité de certification est la configuration de la journalisation des événements liés à la sécurité.

Continuer la lecture de « Konfiguration der Überwachung von Sicherheitsereignissen (Auditierungseinstellungen) für Zertifizierungsstellen »

Réaliser un test de fonctionnement pour un organisme de certification

Après l'installation d'une autorité de certification, après la migration vers un nouveau serveur ou après des travaux de maintenance importants, un test fonctionnel complet doit être effectué afin de s'assurer que tous les composants de l'autorité de certification fonctionnent comme prévu.

Continuer la lecture de « Funktionstest durchführen für eine Zertifizierungsstelle »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais