Étiquette : capolicy.inf

Prolonger ou raccourcir la période de validité des certificats d'autorité de certification racine

Dans le cas d'infrastructures à clé publique existantes, il se peut que l'on constate que la validité du certificat de l'autorité de certification racine n'a pas fait ses preuves. Par exemple, il se peut qu'elle soit trop courte (le paramètre par défaut de Microsoft ADCS est de cinq ans seulement), voire trop longue, ce qui n'est peut-être pas optimal du point de vue de la sécurité.

Si l'on renouvelle le certificat d'autorité de certification, on souhaite peut-être obtenir une autre durée de validité.

Continuer la lecture de « Verlängern oder verkürzen des Gültigkeitszeitraums von Stammzertifizierungsstellen-Zertifikaten »

Principes de base : fichier de configuration pour l'autorité de certification (capolicy.inf)

Le capolicy.inf contient des paramètres de base qui peuvent ou devraient être définis avant l'installation d'une autorité de certification. Pour simplifier, on peut dire qu'aucune autorité de certification ne devrait être installée sans lui.

Continuer la lecture de « Grundlagen: Konfigurationsdatei für die Zertifizierungsstelle (capolicy.inf) »

Accents dans les certificats d'autorité de certification

Les noms de domaine internationalisés (IDN) sont officiellement pris en charge depuis Windows Server 2012 dans le cadre de l'autorité de certification et des composants associés.

Si vous souhaitez les utiliser dans vos certificats d'organisme de certification, vous devez toutefois tenir compte de certaines particularités.

Continuer la lecture de « Umlaute in Zertifizierungsstellen-Zertifikaten »

La demande de certificat d'autorité de certification échoue avec le message d'erreur „The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)“.“

Supposons le scénario suivant :

  • Un certificat d'autorité de certification est demandé à une autorité de certification.
  • La demande de certificat échoue avec le message d'erreur suivant :
The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)
Denied by Policy Module
Continuer la lecture de « Die Beantragung eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung „The certification authority’s certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)“ »

Configurer la contrainte de longueur de chemin (Path Length Constraint) pour les certificats émis par une autorité de certification

Pour renforcer le contrôle sur les certificats pouvant être délivrés par une autorité de certification, il est possible de mettre en place une restriction de longueur de chemin (Path Length Constraint) afin que les autorités de certification situées au-dessus d'un certain niveau hiérarchique ne puissent plus délivrer de certificats d'autorité de certification subordonnés.

Pour une explication du fonctionnement de la limitation de la longueur du chemin, voir l'article „ Principes fondamentaux : contrainte de longueur de chemin (Path Length Constraint) “.

Continuer la lecture de « Einschränkung der Pfadlänge (Path Length Constraint) für von einer Zertifizierungsstelle ausgestellte Zertifikate konfigurieren »

Créer une sauvegarde (backup) d'une autorité de certification

Une gestion professionnelle d'un organisme de certification implique également la création régulière de sauvegardes.

Vous trouverez ci-dessous une description des composants à sauvegarder et de la procédure à suivre.

Continuer la lecture de « Eine Sicherung (Backup) einer Zertifizierungsstelle erstellen »

Description des paramètres de configuration nécessaires pour le profil de certificat "Common PKI".

Vous trouverez ci-dessous une description des paramètres de configuration nécessaires pour qu'une hiérarchie de certificats basée sur les services de certificats Active Directory soit conforme à la norme „ Common PKI “ (anciennement connue sous le nom d'ISIS-MTT).

Continuer la lecture de « Beschreibung der notwendigen Konfigurationseinstellungen für das „Common PKI“ Zertifikatprofil »

Inclure la politique d'émission Wildcard (All Issuance Policies) dans un certificat d'autorité de certification

Si l'on installe une autorité de certification émettrice (Issuing CA) et que l'on ne demande pas explicitement une politique d'émission (Issuance Policy), le certificat d'autorité de certification qui en résulte ne contient pas de politique d'émission.

Si vous souhaitez inclure la politique d'émission générique (All Issuance Policies) dans le certificat de l'autorité de certification, procédez comme suit :

Continuer la lecture de « Die Wildcard Ausstellungsrichtlinie (All Issuance Policies) in ein Zertifizierungsstellen-Zertifikat aufnehmen »

Inclure les directives d'émission (Issuance Policies) pour la Trusted Platform (TPM) Key Attestation dans un certificat d'autorité de certification

Si l'on installe une autorité de certification émettrice (Issuing CA) et que l'on ne demande pas explicitement une politique d'émission (Issuance Policy), le certificat d'autorité de certification qui en résulte ne contient pas de politique d'émission.

Si l'on souhaite inclure les directives d'émission (Issuance Policies) pour Trusted Platform (TPM) Key Attestation dans le certificat d'autorité de certification, il faut procéder comme suit.

Continuer la lecture de « Die Ausstellungsrichtlinien (Issuance Policies) für Trusted Platform (TPM) Key Attestation in ein Zertifizierungsstellen-Zertifikat aufnehmen »

Principes de base : limiter l'utilisation de la clé étendue (Extended Key Usage, EKU) dans les certificats d'autorité de certification

Une mesure de durcissement judicieuse pour les organismes de certification consiste à limiter les certificats d'organismes de certification, de sorte qu'ils ne puissent être utilisés que pour les certificats effectivement délivrés. utilisation étendue des clés (Extended Key Usage) devient familier.

En cas de compromission de l'autorité de certification, le dommage est alors (tout de même) limité aux Extended Key Usages définis.

Le Smart Card Logon Extended Key Usage, intéressant pour de nombreuses attaques (en relation avec l'adhésion de l'autorité de certification à NTAuthCertificates) ne serait alors présent que dans le certificat d'autorité de certification de l'autorité de certification qui délivre effectivement de tels certificats.

Continuer la lecture de « Grundlagen: Einschränken der erweiterten Schlüsselverwendung (Extended Key Usage, EKU) in Zertifizierungsstellen-Zertifikaten »

Suppression des extensions spécifiques à ADCS des certificats

Si l'on utilise Active Directory Certificates, on remarque que les certificats des autorités de certification et les certificats qu'elles émettent comportent certaines extensions qui ne sont pas définies dans les RFC pertinents et qui sont spécifiques à AD CS.

Continuer la lecture de « Entfernen der ADCS-spezifischen Erweiterungen aus Zertifikaten »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais