Catégorie : Autorité de certification

Démantèlement d'une autorité de certification intégrée à Active Directory (Enterprise CA)

Il existe de nombreuses instructions pour la mise en place et la mise en service de services informatiques. Mais la plupart du temps, on oublie les instructions correspondantes pour la mise hors service.

Vous trouverez ci-dessous une description de la manière correcte de mettre hors service une autorité de certification intégrée dans Active Directory (Enterprise Certification Authority).

Continuer la lecture de « Rückbau einer Active Directory integrierten Zertifizierungsstelle (Enterprise CA) »

Archivage ultérieur des clés privées

Für die Verschlüsselung von E-Mail Nachrichten verwenden Unternehmen üblicherweise den Extensions de messages Internet sécurisés / polyvalents (S/MIME) et mettent à la disposition de leurs utilisateurs les certificats correspondants.

Un aspect important ici est que les clés privées des utilisateurs doivent être sécurisées de manière centralisée, contrairement aux certificats de signature qui sont par ailleurs le plus souvent utilisés. Les messages entrants sont cryptés pour une clé privée spécifique et ne peuvent être décryptées que par ce dernier. Il est donc impératif de disposer d'une sauvegarde de ces clés - y compris pour les Synchronisation sur les terminaux mobiles cela est indispensable. Pour cela, les Microsoft Active Directory Certificate Services offrent la fonction de Archivage des clés privées (angl. Private Key Archival).

Mais que se passe-t-il si l'archivage des clés privées n'a pas été mis en place et que les utilisateurs ont déjà demandé les certificats correspondants ?

Continuer la lecture de « Nachträgliche Archivierung privater Schlüssel »

Signer des certificats en contournant l'autorité de certification - uniquement avec les moyens du bord

Dans l'article "Signer des certificats en contournant l'autorité de certificationJ'ai décrit dans l'article "Comment un attaquant en possession de droits administratifs sur l'autorité de certification peut générer un certificat d'inscription pour des comptes administratifs du domaine en contournant le logiciel de l'autorité de certification, c'est-à-dire en utilisant directement la clé privée de l'autorité de certification.

Dans l'article précédent, j'ai présenté le PSCertificateEnrollment Module Powershell pour illustrer la procédure. Microsoft fournit avec certreq et certutil Le système d'exploitation de l'entreprise est livré avec des outils de pentesting parfaitement adaptés.

Continuer la lecture de « Signieren von Zertifikaten unter Umgehung der Zertifizierungsstelle – allein mit Bordmitteln »

L'installation d'un nouveau certificat d'autorité de certification échoue avec le code d'erreur "ERROR_INVALID_PARAMETER".

Supposons le scénario suivant :

  • Un nouveau certificat d'autorité de certification est demandé pour une autorité de certification subordonnée et délivré par l'autorité de certification supérieure.
  • Le site Subject Distinguished Name (DN de sujet) est identique à celui du certificat d'autorité de certification précédent.
  • Néanmoins, l'installation du certificat d'autorité de certification échoue avec le message d'erreur suivant :
An error was detected while configuring Active Directory Certificate Services.
The Active Directory Certificate Services Setup Wizard will need to be rerun to complete the configuration.
The new certificate subject name does not exactly match the active CA name.
Renew with a new key to allow minor subject name changes: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER).
Continuer la lecture de « Die Installation eines neuen Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlercode „ERROR_INVALID_PARAMETER“ »

Codage des caractères dans le Subject Distinguished Name des demandes de certificat et des certificats délivrés

Habituellement, le codage des caractères et des chaînes de caractères dans les certificats n'est pas un sujet qui intéresse beaucoup les utilisateurs d'une PKI. Il existe cependant des cas où les paramètres par défaut de l'autorité de certification ne donnent pas les résultats escomptés.

Continuer la lecture de « Zeichenkodierung im Subject Distinguished Name von Zertifikatanforderungen und ausgestellten Zertifikaten »

Un module de politique pour les apprivoiser : Présentation du module de politique TameMyCerts pour Microsoft Active Directory Certificate Services

En tant qu'exploitant d'un organisme de certification il est responsable (entre autres) de l'identification des demandeurs et de la confirmation des identités demandées. Le fait que cette tâche soit effectuée consciencieusement et sans erreur est le pilier central de la confiance accordée à l'organisme de certification. Des entreprises renommées sont a déjà échoué dans cette tâche, ont même dû déposer le bilan à la suite de fausses expositions et/ou ont été remplacés par les grands acteurs du marché sensible punit.

Dans de nombreux cas, en tant qu'opérateurs PKI (Microsoft) dans les entreprises (indépendamment de la qualité qui en découle), nous sommes en mesure de déléguer notre tâche d'identification unique d'un demandeur à l'Active Directory. Mais dans de nombreux cas, nous devons malheureusement aussi demander à notre/nos autorité(s) de certification de délivrer simplement tout ce qui est demandé.

Continuer la lecture de « Ein Policy Modul, um sie zu bändigen: Vorstellung des TameMyCerts Policy Moduls für Microsoft Active Directory Certificate Services »

La partition du Hardware Security Module (HSM) est pleine

Supposons le scénario suivant :

  • Une autorité de certification utilise un Module de sécurité matériel (HSM).
  • La partition du Hardware Security Module se remplit de plus en plus de clés au cours de la durée de vie de l'autorité de certification.
  • Sur SafeNet Hardware Security Modules, cela peut même entraîner l'exécution complète de la partition. En conséquence, les événements 86 et 88 de l'autorité de certification.
Continuer la lecture de « Die Partition des Hardware Security Moduls (HSM) läuft voll »

Modifications apportées à l'émission de certificats et à l'ouverture de session basée sur des certificats dans Active Directory par le correctif pour Windows Server du 10 mai 2022 (KB5014754)

Avec le correctif du 10 mai 2022, Microsoft tente de combler une faille de sécurité dans le Active Directory dans laquelle l'inscription basée sur un certificat (généralement connue sous le nom de PKINIT ou encore de Connexion par carte à puce).

La mise à jour modifie à la fois le comportement Autorité de certification que le comportement d'Active Directory lors du traitement des inscriptions basées sur des certificats.

Continuer la lecture de « Änderungen an der Zertifikatausstellung und an der zertifikatbasierten Anmeldung am Active Directory mit dem Patch für Windows Server vom 10. Mai 2022 (KB5014754) »

Principes de base : contraintes de nom (Name Constraints)

Les restrictions de noms font partie de la norme X.509 et sont définies dans le RFC 5280 ont été décrits. Ils constituent un outil qui peut être utilisé dans le cadre subordination qualifiée peut être utilisé pour contrôler finement la portée d'un certificat d'autorité de certification.

Continuer la lecture de « Grundlagen: Namenseinschränkungen (Name Constraints) »

Il est temps de migrer les composants PKI de Windows Server 2012 vers un nouveau système d'exploitation

En ce début d'année, une remarque s'adresse à tous les exploitants d'une autorité de certification Microsoft et de services affiliés :

Le site Ende der Produktunterstützung von Microsoft für Windows Server 2012 und 2012 R2 se rapproche lentement, c'est le 10 octobre 2023.

Il est donc temps de préparer le passage à un nouveau système d'exploitation.

Continuer la lecture de « Es wird Zeit: Migrieren der PKI Komponenten von Windows Server 2012 auf ein neues Betriebssystem »

Principes de base : les courbes elliptiques en vue de leur utilisation dans l'infrastructure à clé publique

Avec Windows Vista et Windows Server 2008, la Cryptography API : Next Generation (CNG) a été introduite dans les systèmes Windows.

Ce terme désigne un ensemble de fonctions cryptographiques modernes. Entre autres, le CNG permet l'utilisation de certificats utilisant des clés basées sur des courbes elliptiques (également appelées Elliptic Curve Cryptography, ECC) avec l'autorité de certification Microsoft et le système d'exploitation Windows.

Continuer la lecture de « Grundlagen: Elliptische Kurven in Hinsicht auf ihre Verwendung in der Public Key Infrastruktur »

Exploitation de l'autorité de certification sans module de sortie

Lorsqu'une autorité de certification est installée, le module de sortie "Windows Default" est automatiquement activé. Celui-ci permet d'envoyer des messages électroniques lors de certains événements de l'autorité de certification. La plupart des entreprises n'utilisent cependant pas du tout cette fonction.

Aber auch wenn das Exit Modul überhaupt nicht verwendet wird, verursacht es Sitzungen auf der Zertifizierungsstellen-Datenbank (siehe Événement n° 46). Sur les autorités de certification à forte charge cela peut être problématique.

Si les fonctions qu'il offre ne sont pas du tout utilisées (unter Windows Server Core funktioniert das „Windows Default“ Exit Modul grundsätzlich nicht), il peut aussi être complètement désactivé.

Continuer la lecture de « Betreiben der Zertifizierungsstelle ohne Exit Modul »

Le schéma de la base de données des organismes de certification

Si l'on souhaite Consultation de la base de données des autorités de certification il faut d'abord savoir ce que l'on veut chercher.

Il est possible d'éditer le schéma de la base de données de l'autorité de certification.

Continuer la lecture de « Das Datenbankschema der Zertifizierungsstellen-Datenbank »

Limites des services de certificats Microsoft Active Directory

Die Active Directory Certificate Services bestehen (wenn auch unter anderem Namen) in ihren Grundzügen seit Windows NT 4.0. Die heutzutage verwendete auf Active Directory basierende Architektur wurde mit Windows 2000 Server eingeführt. Die AD CS sind sehr gut in das Windows-Ökosystem integriert und erfreuen sich weiterhin weltweit großer Beliebtheit in Unternehmen und Behörden jeglicher Größenordnung.

On évoque volontiers les nombreuses possibilités offertes par les Active Directory Certificate Services. Mais on ne parle que rarement de ce qu'ils permettent de faire. pas est possible. En effet, le produit a atteint ses limites à de nombreux endroits.

Lesquels sont décrits plus en détail ci-dessous, afin de pouvoir mieux décider si les AD CS peuvent être la bonne solution pour les projets prévus.

Continuer la lecture de « Grenzen der Microsoft Active Directory Certificate Services »

Lors de la restauration d'une autorité de certification, le certificat d'autorité de certification ne peut pas être sélectionné lors de l'installation des rôles.

Supposons le scénario suivant :

Continuer la lecture de « Bei der Wiederherstellung einer Zertifizierungsstelle ist das Zertifizierungsstellen-Zertifikat bei der Rollen-Installation nicht auswählbar »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais