Par défaut, Microsoft Active Directory Certificate Services supprime les numéros de série des certificats expirés des listes de révocation émises.
Il y a toutefois quelques exceptions à cette règle.
Continuer la lecture de « Behandlung abgelaufener Zertifikate bei der Ausstellung von Zertifikatsperrlisten »Supposons le scénario suivant :
The system cannot find the file specified. 0x2 (WIN32: 2 ERROR_FILE_NOT_FOUND) The policy module for a CA is missing or incorrectly registered. To view or change policy module settings, right-click on the CA, click Properties, and then click the Policy Module tab.Continuer la lecture de « Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „The system cannot find the file specified. 0x2 (WIN32: 2 ERROR_FILE_NOT_FOUND)“ »
Supposons le scénario suivant :
The request is missing required signature policy information. 0x80094809 (-2146875383 CERTSRV_E_SIGNATURE_POLICY_REQUIRED) Denied by Policy ModuleContinuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „The request is missing required signature policy information. 0x80094809 (-2146875383 CERTSRV_E_SIGNATURE_POLICY_REQUIRED)“ »
Le capolicy.inf contient des paramètres de base qui peuvent ou devraient être définis avant l'installation d'une autorité de certification. Pour simplifier, on peut dire qu'aucune autorité de certification ne devrait être installée sans lui.
Continuer la lecture de « Grundlagen: Konfigurationsdatei für die Zertifizierungsstelle (capolicy.inf) »Microsoft Active Directory Certificate Services offre la possibilité de créer ses propres Modules Policy et Exit de développer les fonctionnalités de l'autorité de certification.
Voici les étapes nécessaires pour créer un module Exit dans C# avec Visual Studio 2019. Le module Exit écrira les certificats émis dans un répertoire configurable du système de fichiers.
Continuer la lecture de « Ein Exit Modul für die Zertifizierungsstelle in C# erstellen »Depuis Windows 8, c'est possible, que les clés privées des certificats soient protégées par un module de plate-forme de confiance (TPM), si celui-ci est disponible. De ce fait, la clé n'est pas exportable - même avec des outils comme mimikatz.
Au premier coup d'œil, il n'est toutefois pas évident de garantir l'utilisation d'un TPM. Il est vrai que pas de demande possible via la Microsoft Management Console ou AutoEnrollment si l'ordinateur ne dispose pas de TPM.
Toutefois, la configuration dans le modèle de certificat n'est qu'une configuration par défaut pour le client. L'autorité de certification, lorsqu'elle demande un certificat ne pas vérifier explicitement si un module Trusted Platform a vraiment été utilisé.
Pour s'assurer que la clé privée d'une demande de certificat a bien été protégée par un module Trusted Platform, il ne reste donc que l'attestation de clé TPM.
Continuer la lecture de « Konfigurieren der Trusted Platform Module (TPM) Key Attestation »Dans les discussions sur la sécurité d'une autorité de certification, on entend régulièrement qu'un abus de l'autorité de certification pourrait être endigué par ses paramètres de sécurité.
Il n'est toutefois pas évident à première vue que l'intégrité d'une autorité de certification soit directement liée à son matériel de clé et qu'elle puisse donc être compromise par ce dernier.
Il faut se représenter le logiciel d'autorité de certification comme une sorte de gestion autour du matériel clé. Le logiciel offre par exemple une Interface en ligne pour la demande de certificat s'occupe de l'authentification des demandeurs, de l'exécution automatisée des opérations de signature (délivrance de certificats et de Listes de blocage) et leur enregistrement (Base de données des organismes de certification, Protocole d'audit, Journal des événements).
Or, les opérations de signature ne nécessitent rien d'autre que la clé privée de l'autorité de certification. L'exemple suivant montre comment un attaquant peut, s'il a accès à la clé privée de l'autorité de certification, générer et émettre des certificats sans que le logiciel de l'autorité de certification et ses mécanismes de sécurité ne le sachent.
Avec un tel certificat, ce serait même possible dans le pire des cas, de reprendre la structure globale d'Active Directory sans être détecté.
Continuer la lecture de « Signieren von Zertifikaten unter Umgehung der Zertifizierungsstelle »Dans le cadre de l'exploitation d'une autorité de certification, il peut s'avérer nécessaire de modifier ultérieurement le chemin d'accès à la base de données de l'autorité de certification. Par exemple, on peut vouloir déplacer la base de données vers une autre partition/un autre disque.
Continuer la lecture de « Verschieben der Zertifizierungsstellen-Datenbank in ein anderes Verzeichnis oder auf ein anderes Laufwerk »Lorsque l'on émet des certificats S/MIME, ceux-ci contiennent généralement une extension de certificat „S/MIME Capabilities“. Cette extension de certificat est spécifiée dans la RFC 4262 et peut être utilisée par les programmes de messagerie compatibles pour spécifier les algorithmes symétriques pris en charge par le destinataire d'un message chiffré. L'expéditeur doit alors choisir l'algorithme le plus puissant pris en charge par le destinataire.
Si l'on jette un coup d'œil aux algorithmes symétriques contenus dans un tel certificat, on constatera probablement que la liste contient plutôt des algorithmes obsolètes - le plus „fort“ de ces algorithmes est le Triple DES (3DES), désormais considéré comme dépassé.
Continuer la lecture de « Die „S/MIME Capabilities“ Zertifikaterweiterung in ausgestellten Zertifikaten um die Cryptography Next Generation (CNG) Algorithmen erweitern »Supposons le scénario suivant :
Setup could not add the Certification Authority's computer account to the Pre-Windows 2000 Compatible Access security group. Certificate managers Restrictions feature will not work correctly on this Certification Authority. To fix this, an administrator must manually add the Certification's Authority's computer account to the Pre-Windows 2000 Compatible Access security group in Active Directory. Insufficient access rights to perform the operation. 0x80072098 (Win32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)
Warning: Setup could not add the certification authority’s computer account to the cert Publishers Security Group. This Certification Authority will not be able to publish certificates in Active Directory. To fix this, an administrator must manually add the Certification Authority’s computer account to the Cert Publishers security group in Active Directory. Insufficient access rights to perform the operation. 0x80072098 (Win32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)Continuer la lecture de « Bei der Installation einer Active Directory integrierten Zertifizierungsstelle erscheint die Fehlermeldung „Insufficient access rights to perform the operation. 0x80072098 (Win32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)“ »
Supposons le scénario suivant :
Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)Continuer la lecture de « Die Installation eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung „Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)“ »
Supposons le scénario suivant :
An error was detected while configuring Active Directory Certificate Services. The Active Directory Certificate Services Setup Wizard will need to be rerun to complete the configuration. The new certificate public key does not match the current outstanding request. The wrong request may have been used to generate the new certificate: Provider DLL failed to initialize correctly. 0x8009001d (-2146893795 NTE_PROVIDER_DLL_FAIL)Continuer la lecture de « Die Installation eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlercode „NTE_PROVIDER_DLL_FAIL“ »
Il est parfois nécessaire d'autoriser les noms distinctifs relatifs (RDN) dans les certificats délivrés qui ne sont pas définis et qui ne sont donc pas inclus dans le certificat. SubjectTemplate valeur de l'enregistrement de l'autorité de certification pourraient être configurés.
Un exemple est l'identifiant d'organisation avec l'identifiant d'objet 2.5.4.97, qui est par exemple nécessaire pour les certificats utilisés pour la eIDAS sont conformes au règlement.
Continuer la lecture de « Verwenden von nicht definierten Relative Distinguished Names (RDN) in ausgestellten Zertifikaten »Microsoft Active Directory Certificate Services reprend les sujets des demandes de certificats pour les modèles dans lesquels leur spécification par le demandeur est autorisée, pas 1:1 dans le certificat délivré.
Au lieu de cela, est défini à la fois, quels noms distinctifs relatifs (RDN) sont autorisés, L'ordre dans lequel elles sont inscrites dans les certificats délivrés est également défini. Cet ordre peut toutefois être modifié. La manière de procéder est expliquée ci-dessous.
Continuer la lecture de « Die Reihenfolge der Relative Distinguished Names (RDNs) im Subject Distinguished Name (DN) ausgestellter Zertifikate ändern »Certains les événements Windows générés par l'autorité de certification ne sont générés qu'à partir d'un certain niveau de journalisation.
Les paragraphes suivants décrivent comment déterminer et modifier le niveau de journalisation d'une autorité de certification.
Continuer la lecture de « Protokollierungsebene (Log Level) für das Ereignisprotokoll der Zertifizierungsstelle konfigurieren »
Français 
Deutsch 
English