Étiquette : Cache

L'inscription par carte à puce échoue avec un message d'erreur "A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)".

Supposons le scénario suivant :

  • L'entreprise souhaite utiliser la connexion par carte à puce.
  • Les contrôleurs de domaine sont avec des certificats utilisables pour l'inscription par carte à puce équipée.
  • Les utilisateurs sont munis de certificats utilisables pour la connexion par carte à puce.
  • La connexion au domaine par carte à puce échoue avec le message d'erreur suivant :
A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)
Continuer la lecture de « Smartcard-Anmeldung schlägt fehl mit Fehlermeldung „A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)“ »

La liste locale des certificats des autorités de certification racines de confiance n'est pas synchronisée à partir d'Active Directory.

Supposons le scénario suivant :

  • Es ist eine Zertifizierungsstellen-Hierarchie im Netzwerk etabliert und die Stammzertifizierungsstelle ist in der Configuration-Partition der Active Directory Gesamtstruktur abgebildet.
  • Die Domänenmitglieder sind konfiguriert, den Autoenrollment-Prozess auszuführen und somit vertrauenswürdige Stammzertifizierungsstellen aus der Configuration-Partition zu aktualisieren.
  • Bei einigen Clients funktioniert dieser Prozess allerdings nicht. Die Stammzertifizierungsstellen-Zertifikate werden nicht automatisch heruntergeladen und in den lokalen Vertrauensspeicher eingetragen.
  • Als Folgeerscheinung können Zertifikatbeantragungen fehlschlagen, da beispielsweise der Zertifizierungsstellen-Hierarchie nicht vertraut wird.
Continuer la lecture de « Der lokale Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen wird nicht aus dem Active Directory synchronisiert »

Principes de base du répondeur en ligne (Online Certificate Status Protocol, OCSP)

Les certificats disposent généralement de l'extension „CRL Distribution Points“, qui permet d'indiquer à une application où se trouve la liste de diffusion associée au certificat. Liste de révocation des certificats (CRL) est à trouver.

Celui-ci ressemble à un annuaire téléphonique : On y trouve tous les numéros de série des certificats rappelés par l'autorité de certification (et encore valables). Chaque application qui vérifie le statut de révocation doit télécharger et évaluer la liste de révocation complète.

Plus la taille augmente, plus cette procédure devient inefficace. En règle générale, 100 000 certificats rappelés correspondent déjà à une taille de fichier d'environ 5 Mo pour la liste de révocation.

Le Online Certificate Status Protocol (OCSP) a été développé à cet effet (sous la direction de la société ValiCert) : Il s'agit d'un service d'information qui permet aux applications de demander le statut de révocation de certificats individuels, ce qui évite de devoir télécharger la CRL complète. OCSP est disponible dans le RFC 6960 est spécifiée.

Continuer la lecture de « Grundlagen Onlineresponder (Online Certificate Status Protocol, OCSP) »

Aperçu des possibilités de paramétrage pour les configurations de blocage du répondeur en ligne (OCSP)

Si une configuration de blocage est configurée pour un répondeur en ligne, il existe différentes possibilités de réglage qui sont abordées ci-dessous.

Continuer la lecture de « Übersicht über die Einstellungsmöglichkeiten für Sperrkonfigurationen des Onlineresponders (OCSP) »

Microsoft Outlook : Impossible d'ouvrir les e-mails chiffrés avec S/MIME. Le message d'erreur „Your digital ID name cannot be found by the underlying security system“ apparaît.“

Supposons le scénario suivant :

  • Un utilisateur reçoit un message électronique crypté avec Secure/Multipurpose Internet Mail Extensions (S/MIME).
  • Le message ne peut pas être ouvert.
  • Le message d'erreur suivant s'affiche à l'ouverture du message :
Sorry, we're having trouble opening this item. This could be temporary, but if you see it again you might want to restart Outlook. Your digital ID name cannot be found by the underlying security system.
Continuer la lecture de « Microsoft Outlook: Mit S/MIME verschlüsselte E-Mails können nicht geöffnet werden. Es erscheint die Fehlermeldung „Your digital ID name cannot be found by the underlying security system.“ »

Configurer le „Magic Number“ pour le répondeur en ligne

Même si un répondeur en ligne est présent sur le réseau et que les autorités de certification ont inscrit son adresse dans l'extension Authority Information Access (AIA) des certificats délivrés, il n'est pas toujours garanti que le répondeur en ligne soit effectivement utilisé.

Le „Magic Number“, présent sur chaque système d'exploitation Windows, est une variable d'ajustement. Il a pour effet que le système se replie sur les listes de blocage (si elles existent) si trop de demandes sont faites par OCSP pour la même autorité de certification.

Continuer la lecture de « Die „Magic Number“ für den Onlineresponder konfigurieren »

Details zum Ereignis mit ID 33 der Quelle Microsoft-Windows-NetworkDeviceEnrollmentService

Source de l'événement :Microsoft-Windows-NetworkDeviceEnrollmentService
ID de l'événement :33 (0x21)
Journal des événements :Application
Type d'événement :Erreur
Nom symbolique :EVENT_MSCEP_ADD_ID
Texte de l'événement (en anglais) :The Network Device Enrollment Service failed to cache this certificate ID and transaction ID (%1). %2
Texte de l'événement (en allemand) :Die Zertifikat-ID und die Transaktions-ID können vom Registrierungsdienst für Netzwerkgeräte nicht zwischengespeichert werden (%1). %2
Continuer la lecture de « Details zum Ereignis mit ID 33 der Quelle Microsoft-Windows-NetworkDeviceEnrollmentService »

Principes de base : vérification du statut de révocation des certificats

Soll ein gültiges, noch nicht abgelaufenes Zertifikat aus dem Verkehr gezogen werden, muss es widerrufen werden. Hierfür pflegen die Zertifizierungsstellen entsprechende Sperrlisten, in welchen die digitalen Fingerabdrücke der widerrufenen Zertifikate aufgelistet sind. Sie müssen bei der Gültigkeitsprüfung abgefragt werden.

Continuer la lecture de « Grundlagen: Überprüfung des Sperrstatus von Zertifikaten »

Wie sind die Kompatibilitätseinstellungen für Zertifikatvorlagen technisch abgebildet?

Seit den Verwaltungstools für die Zertifikatdienste in Windows Server 2012 kann man beim Konfigurieren einer Zertifikatvorlage die gewünschte Kompatibilität für die Zertifizierungsstelle und Zertifikatempfänger auswählen.

Nachfolgend wird diese Funktion näher beschrieben, sowie auf mögliche Auswirkungen in der Praxis eingegangen.

Continuer la lecture de « Wie sind die Kompatibilitätseinstellungen für Zertifikatvorlagen technisch abgebildet? »

Réaliser un test de fonctionnement pour un organisme de certification

Nach der Installation einer Zertifizierungsstelle, nach der Migration auf einen neuen Server, oder nach umfangreicheren Wartungsarbeiten sollte ein ausgiebiger Funktionstest erfolgen, um sicherzustellen, dass alle Komponenten der Zertifizierungsstelle wie gewünscht arbeiten.

Continuer la lecture de « Funktionstest durchführen für eine Zertifizierungsstelle »

Consulter et supprimer le cache d'adresses des listes de blocage (CRL URL Cache)

Toutes les applications qui utilisent le Microsoft Cryptographic Application Programming Interface Version 2 (Crypto API Version 2, CAPI2) ont un mécanisme de mise en cache des informations de révocation des certificats (Listes de blocage des certificats et OCSP-réponses).

Il n'est donc pas possible de garantir, par exemple, qu'une liste de blocage nouvellement publiée sera utilisée par les participants avant que la liste de blocage précédente, qui se trouve encore dans la mémoire cache, n'ait expiré.

Nous décrivons ci-dessous comment consulter et influencer le cache de la liste de blocage.

Continuer la lecture de « Den Adress-Zwischenspeicher für Sperrlisten (CRL URL Cache) einsehen und löschen »

Die Beantragung eines Zertifikats über den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung „The requested certificate template is not supported by this CA.“

Supposons le scénario suivant :

  • On essaie de demander un certificat via un Certificate Enrollment Policy Web Service (CEP) d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • L'opération échoue avec le message d'erreur suivant :
The requested certificate template is not supported by this CA.
Continuer la lecture de « Die Beantragung eines Zertifikats über den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung „The requested certificate template is not supported by this CA.“ »

Utiliser l'assurance du mécanisme d'authentification (AMA) pour sécuriser la connexion des comptes administratifs

L'assurance du mécanisme d'authentification (AMA) est une fonction qui doit garantir qu'un utilisateur n'est membre d'un groupe de sécurité que s'il s'est connecté avec une méthode d'authentification forte (c'est-à-dire une carte à puce). Si l'utilisateur se connecte à l'aide d'un nom d'utilisateur et d'un mot de passe, il ne peut pas accéder aux ressources demandées.

Conçu à l'origine pour l'accès aux serveurs de fichiers, l'AMA peut toutefois être utilisé (avec quelques restrictions) pour la connexion administrative. Ainsi, il serait par exemple envisageable qu'un utilisateur soit non privilégié s'il se connecte avec un nom d'utilisateur et un mot de passe, et qu'il dispose de droits administratifs s'il se connecte avec un certificat.

Continuer la lecture de « Verwenden von Authentication Mechanism Assurance (AMA) für die Absicherung der Anmeldung administrativer Konten »

Consulter et supprimer le cache de la politique d'inscription des certificats (Enrollment Policy Cache) pour le Certificate Enrollment Policy Web Service (CEP)

Une fois qu'une politique d'enregistrement des certificats (Enrollment Policy) a été configurée et utilisée par un participant, les résultats sont mis en cache localement (Enrollment Policy Cache).

Si l'on procède maintenant à des modifications de l'infrastructure, par exemple en publiant ou en supprimant un nouveau modèle de certificat sur une autorité de certification accessible via le Certificate Enrollment Web Service (CES), ces modifications ne sont pas immédiatement visibles pour les participants en raison de la mise en mémoire tampon.

C'est pourquoi il peut être utile, dans certaines circonstances, de consulter ou d'effacer la mémoire tampon.

Continuer la lecture de « Den Zwischenspeicher für Zertifikatregistrierungsrichtlinien (Enrollment Policy Cache) für den Certificate Enrollment Policy Web Service (CEP) einsehen und löschen »

La page web d'administration du Network Device Enrollment Service (NDES) (certsrv/mscep_admin) signale "The password cache is full".

Supposons le scénario suivant :

  • Un serveur NDES est configuré sur le réseau.
  • Lors de l'appel de la page web d'administration (certsrv/mscep_admin), le message suivant apparaît :
The password cache is full.
Continuer la lecture de « Die Network Device Enrollment Service (NDES) Administrations-Webseite (certsrv/mscep_admin) meldet „The password cache is full.“ »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais