Catégorie : Autorité de certification

L'installation d'un certificat d'autorité de certification échoue avec le message d'erreur "Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)".

Supposons le scénario suivant :

  • Une nouvelle autorité de certification est installée.
  • Après la configuration du rôle d'autorité de certification et l'émission du certificat d'autorité de certification, celui-ci doit maintenant être installé sur l'autorité de certification.
  • Un module de sécurité matériel (HSM) est utilisé pour protéger la clé privée du certificat de l'autorité de certification.
  • L'installation du certificat d'autorité de certification échoue avec le message d'erreur suivant :
An error was detected while configuring Active Directory Certificate Services.
The Active Directory Certificate Services Setup Wizard will need to be rerun to complete the configuration.
The new certificate public key does not match the current outstanding request.
The wrong request may have been used to generate the new certificate:  Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)
Continuer la lecture de « Die Installation eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung „Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)“ »

La reconnexion à la clé privée échoue avec le message d'erreur "Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)"

Supposons le scénario suivant :

Cannot find the certificate and private key for decryption.
CertUtil: -repairstore command FAILED: 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)
CertUtil: Cannot find object or property.
Continuer la lecture de « Die Wiederherstellung der Verbindung zum privaten Schlüssel schlägt fehl mit Fehlermeldung „Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)“ »

L'installation des modèles de certificats par défaut échoue avec le message d'erreur "This security ID may not be assigned as the owner of this object".

Supposons le scénario suivant :

  • Une autorité de certification intégrée dans Active Directory (Enterprise Certification Authority) doit être installée pour la première fois dans le réseau.
  • Pour des raisons de sécurité, les droits d'installation de l'autorité de certification ont été délégués à un groupe de sécurité ou à un compte séparé, de sorte qu'il n'est pas nécessaire de se connecter en tant qu'administrateur d'entreprise. Formulé dans l'autre sens : L'utilisateur utilisé n'est pas membre du groupe "Enterprise Administrators" dans la structure globale d'Active Directory.
  • Comme il s'agit de la première autorité de certification dans le réseau, il n'y a pas encore d'autorité de certification. Modèles de certificats standard est installé dans l'Active Directory. En ouvrant la console de gestion des modèles de certificats (certtmpl.msc), on est invité à les installer.
  • L'installation échoue avec le message d'erreur suivant :
Windows could not install the new certificate templates. This security ID may not be assigned as the owner of this object.
Continuer la lecture de « Die Installation der Standard-Zertifikatvorlagen schlägt fehl mit Fehlermeldung „This security ID may not be assigned as the owner of this object.“ »

Délivrer des certificats avec une durée de validité raccourcie

Il est parfois nécessaire d'émettre des certificats avec une durée de validité plus courte que celle configurée dans le modèle de certificat. C'est peut-être pour cela que l'on ne souhaite pas reconfigurer immédiatement le modèle de certificat ou créer un autre modèle de certificat.

Continuer la lecture de « Zertifikate mit verkürzter Gültigkeitsdauer ausstellen »

Les certificats d'autorité racine sont importés dans la liste de certificats d'autorité de certification intermédiaire des membres du domaine.

Certains auront sans doute remarqué que la liste de certificats pour les autorités de certification intermédiaires contient généralement aussi des certificats pour les autorités de certification racines.

En règle générale, ce comportement n'est pas critique. Dans certains cas cela peut toutefois entraîner des problèmes avec les applications.

Continuer la lecture de « Stammstellen-Zertifikate werden auf Domänenmitgliedern in den Zertifikatspeicher für Zwischenzertifizierungsstellen importiert »

Établir une correspondance entre un certificat d'utilisateur et l'ordinateur correspondant

Supposons le scénario suivant :

  • L'ordinateur d'un utilisateur est détourné ou infecté par un logiciel malveillant.
  • L'intégrité des certificats se trouvant sur l'ordinateur ne peut plus être garantie.
  • Les certificats de l'utilisateur/de l'utilisatrice qui ont été demandés sur cet ordinateur doivent être révoqués.
  • On souhaite toutefois éviter de révoquer tous les certificats d'un utilisateur.
  • Il faut donc établir un lien entre les certificats de l'utilisateur et l'ordinateur sur lequel ils ont été demandés.

Si les certificats ont été envoyés par Autoenrollment nous pouvons tirer parti du fait qu'un attribut correspondant faisait partie de la demande de certificat initiale et que la demande de certificat est stockée avec le certificat dans la base de données de l'autorité de certification.

Continuer la lecture de « Eine Zuordnung von einem Benutzerzertifikat zum dazugehörigen Computer herstellen »

Récupération des certificats à partir des données du module de sortie SMTP

Restaurer une autorité de certification après une catastrophe à partir d'une sauvegarde (backup)Si l'on se réfère à l'article 6 de la loi sur la protection des données, il est probable que l'on constate que des certificats ont été émis entre la dernière sauvegarde et la panne du système, avec la perte de données qui s'ensuit.

Ces certificats ne sont pas enregistrés dans la base de données de l'autorité de certification restaurée et ne peuvent donc pas être restaurés en cas de besoin.

Si l'on utilise le module SMTP Exit, on peut au moins déterminer les numéros de série des certificats à partir des e-mails envoyés et les révoquer.

Continuer la lecture de « Wiederherstellen von Zertifikaten aus den Daten des SMTP Exit Moduls »

Le service d'autorité de certification ne démarre pas et affiche le message d'erreur „ Provider DLL failed to initialize correctly. 0x8009001d (-2146893795 NTE_PROVIDER_DLL_FAIL). “

Supposons le scénario suivant :

  • Une autorité de certification est mise en œuvre sur le réseau.
  • Le service d'autorité de certification ne démarre pas
  • Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :
Provider DLL failed to initialize correctly. 0x8009001d (-2146893795 NTE_PROVIDER_DLL_FAIL).
Continuer la lecture de « Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „Provider DLL failed to initialize correctly. 0x8009001d (-2146893795 NTE_PROVIDER_DLL_FAIL).“ »

L'extension de certificat "Application Policies

Für welche Zwecke ein digitales Zertifikat verwendet werden darf, wird über die Zertifikaterweiterungen „Key Usage“ und „Extended Key Usage“ gesteuert.

In der „Extended Key Usage“ Zertifikaterweiterung werden die des utilisations de clés étendues pour lesquels le certificat peut être utilisé.

Il existe toutefois, pour les certificats émis par une autorité de certification Microsoft, une autre extension de certificat appelée "Application Policies" (en anglais : "Politiques d'application"), qui contient également une liste très similaire à l'extension Extended Key Usages.

Continuer la lecture de « Die „Application Policies“ Zertifikaterweiterung »

Es werden regelmäßig neue Zertifikate über Autoenrollment beantragt

Supposons le scénario suivant :

  • Es ist eine Zertifikatvorlage für die automatische Beantragung und Ausstellung (AutoEnrollment) konfiguriert.
  • Benutzer oder Computer beantragen in regelmäßigen Abständen und lange vor dem definierten Erneuerungszeitraum neue Zertifikate.
Continuer la lecture de « Es werden regelmäßig neue Zertifikate über Autoenrollment beantragt »

L'algorithme de la clé des demandes de certificat n'est pas vérifié par le module Policy de l'autorité de certification.

Supposons le scénario suivant :

  • Es ist eine Zertifikatvorlage für die Verwendung von auf elliptischen Kurven basierenden Schlüsseln konfiguriert (z.B. ECDSA_P256).
  • Als Folge dessen ist eine Mindest-Schlüssellänge von 256 Bit konfiguriert.
  • Es werden dennoch auch Zertifikatanforderungen, die andere ECC-Kurven oder RSA-basierte Schlüssel verwenden, signiert.
Continuer la lecture de « Der Schlüsselalgorithmus von Zertifikatanforderungen wird vom Policy Modul der Zertifizierungsstelle nicht überprüft »

Von Null auf Enterprise Administrator durch den Registrierungsdienst für Netzwerkgeräte (NDES) – und was dagegen getan werden kann

Nachfolgend möchte ich eine der breiten Öffentlichkeit vielleicht nicht unbedingt bekannte hochgefährliche PKI-Konfiguration vorstellen, die so in Unternehmensnetzwerken wahrscheinlich recht häufig angetroffen werden kann.

Ich zeige auf, wie durch Ausnutzung verschiedener unglücklicher Umstände in der Windows-PKI eine Erhöhung von Rechten, ausgehend von bloßem Netzwerkzugang bis hin zur vollständigen Übernahme des Active Directory möglich ist.

Der initiale Angriffspunkt ist in diesem Beispiel der Registrierungsdienst für Netzwerkgeräte (NDES).

Continuer la lecture de « Von Null auf Enterprise Administrator durch den Registrierungsdienst für Netzwerkgeräte (NDES) – und was dagegen getan werden kann »

L'installation d'une autorité de certification échoue avec le message d'erreur „The Certification Authority is already installed“.“

Supposons le scénario suivant :

  • Une autorité de certification est installée.
  • Une erreur est survenue lors de l'installation, ce qui a nécessité une nouvelle tentative.
  • Le rôle d'autorité de certification a été désinstallé et la configuration du rôle a ensuite été réessayée.
  • La configuration des rôles échoue avec le message d'erreur suivant :
The Certification Authority is already installed. If you are trying to reinstall the role service, you must first uninstall it.
Continuer la lecture de « Die Installation einer Zertifizierungsstelle schlägt fehl mit Fehlermeldung „The Certification Authority is already installed.“ »

L'installation ou la désinstallation d'une fonctionnalité Windows échoue avec le message d'erreur "The service is configured to not accept any remote shell requests".

Supposons le scénario suivant :

  • Une rôle Windows concernant les services de certificats Active Directory (autorité de certification, service d'enregistrement des périphériques réseau (NDES), enregistrement Web des autorités de certification (CAWE), services Web d'enregistrement des certificats (CEP, CES) ou répondeur en ligne (OCSP)) doit être installé ou désinstallé.
  • L'installation ou la désinstallation échoue avec le message d'erreur suivant :
The status of the role services on the target machine cannot be determined. Please retry. The error is The WS-Management service cannot process the request. The service is configured to not accept any remote shell requests.
Continuer la lecture de « Die Installation oder Deinstallation eines Windows-Features schlägt fehl mit Fehlermeldung „The service is configured to not accept any remote shell requests.“ »

La révocation d'un certificat émis échoue avec le message d'erreur „The data is invalid. 0x8007000d (WIN32 : 13 ERROR_INVALID_DATA)“.“

Supposons le scénario suivant :

  • Un certificat est révoqué via la ligne de commande (certutil -revoke).
  • L'opération échoue avec le message d'erreur suivant :
ICertAdmin::RevokeCertificate: The data is invalid. 0x8007000d (WIN32: 13 ERROR_INVALID_DATA)
Continuer la lecture de « Der Widerruf eines ausgestellten Zertifikats schlägt fehl mit Fehlermeldung „The data is invalid. 0x8007000d (WIN32: 13 ERROR_INVALID_DATA)“ »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais