Étiquette : Point de distribution de liste de blocage (CDP)

Impossible d'envoyer des messages cryptés S/MIME avec Outlook pour iOS : "There's a problem with one of your S/MIME encryption certificates".

Supposons le scénario suivant :

There's a problem with one of your S/MIME encryption certificates. Contact your IT help desk for more info.
Es gibt ein Problem mit einem ihrer S/MIME-Verschlüsselungszertifikate. Wenden Sie sich für weitere Informationen an Ihren IT-Helpdesk.
Continuer la lecture de « Das Senden von S/MIME verschlüsselten Nachrichten mit Outlook for iOS ist nicht möglich: „There’s a problem with one of your S/MIME encryption certificates.“ »

Erreur de connexion avec Windows Hello for Business : "Contactez l'administrateur système et dites-lui que le certificat KDC n'a pas pu être vérifié".

Supposons le scénario suivant :

  • L'entreprise utilise Windows Hello for Business.
  • Les utilisateurs reçoivent le message d'erreur suivant lorsqu'ils se connectent au client :
Sign-in failed. Contact your system administrator and tell them that the KDC certificate could not be validated. Additional information may be available in the system event log.
Continuer la lecture de « Anmeldefehler mit Windows Hello for Business: „Wenden Sie sich an den Systemadministrator, und teilen Sie ihm mit, dass das KDC-Zertifikat nicht überprüft werden konnte.“ »

Détails de l'événement ID 74 de la source Microsoft-Windows-CertificationAuthority

Source de l'événement :Microsoft-Windows-CertificationAuthority
ID de l'événement :74 (0x4A)
Journal des événements :Application
Type d'événement :Erreur
Nom symbolique :MSG_E_BASE_CRL_PUBLICATION_HOST_NAME
Texte de l'événement (en anglais) :Les services de certificats Active Directory n'ont pas pu publier une liste de révocation de certificats (CRL) de base pour la clé %1 à l'emplacement suivant sur le serveur %4 : %2. %3.%5%6
Texte de l'événement (en allemand) :Aucune liste de révocation de certificats de base n'a pu être publiée pour la clé %1 à l'emplacement suivant sur le serveur „ %4 “ : %2. %3.%5%6
Continuer la lecture de « Details zum Ereignis mit ID 74 der Quelle Microsoft-Windows-CertificationAuthority »

Détails de l'événement ID 75 de la source Microsoft-Windows-CertificationAuthority

Source de l'événement :Microsoft-Windows-CertificationAuthority
ID de l'événement :75 (0x4B)
Journal des événements :Application
Type d'événement :Erreur
Nom symbolique :MSG_E_DELTA_CRL_PUBLICATION_HOST_NAME
Texte de l'événement (en anglais) :Les services de certificats Active Directory n'ont pas pu publier une liste de révocation delta pour la clé %1 à l'emplacement suivant sur le serveur %4 : %2. %3.%5%6
Texte de l'événement (en allemand) :Aucune liste de révocation de certificats Delta n'a pu être publiée pour la clé %1 à l'emplacement suivant sur le serveur „ %4 “ : %2. %3.%5%6
Continuer la lecture de « Details zum Ereignis mit ID 75 der Quelle Microsoft-Windows-CertificationAuthority »

Details zum Ereignis mit ID 65 der Quelle Microsoft-Windows-CertificationAuthority

Source de l'événement :Microsoft-Windows-CertificationAuthority
ID de l'événement :65 (0x41)
Journal des événements :Application
Type d'événement :Erreur
Nom symbolique :MSG_E_BASE_CRL_PUBLICATION
Texte de l'événement (en anglais) :Active Directory Certificate Services could not publish a Base CRL for key %1 to the following location: %2. %3.%5%6
Texte de l'événement (en allemand) :Es konnte keine Basis-Zertifikatsperrliste für den Schlüssel %1 an folgendem Ort veröffentlicht werden: %2. %3.%5%6
Continuer la lecture de « Details zum Ereignis mit ID 65 der Quelle Microsoft-Windows-CertificationAuthority »

Details zum Ereignis mit ID 66 der Quelle Microsoft-Windows-CertificationAuthority

Source de l'événement :Microsoft-Windows-CertificationAuthority
ID de l'événement :66 (0x42)
Journal des événements :Application
Type d'événement :Erreur
Nom symbolique :MSG_E_DELTA_CRL_PUBLICATION
Texte de l'événement (en anglais) :Active Directory Certificate Services could not publish a Delta CRL for key %1 to the following location: %2. %3.%5%6
Texte de l'événement (en allemand) :Es konnte keine Delta-Zertifikatsperrliste für den Schlüssel %1 an folgendem Ort veröffentlicht werden: %2. %3.%5%6
Continuer la lecture de « Details zum Ereignis mit ID 66 der Quelle Microsoft-Windows-CertificationAuthority »

Principes de base : vérification du statut de révocation des certificats

Soll ein gültiges, noch nicht abgelaufenes Zertifikat aus dem Verkehr gezogen werden, muss es widerrufen werden. Hierfür pflegen die Zertifizierungsstellen entsprechende Sperrlisten, in welchen die digitalen Fingerabdrücke der widerrufenen Zertifikate aufgelistet sind. Sie müssen bei der Gültigkeitsprüfung abgefragt werden.

Continuer la lecture de « Grundlagen: Überprüfung des Sperrstatus von Zertifikaten »

Utilisation de HTTP via Transport Layer Security (HTTPS) pour les points de distribution de listes de blocage (CDP) et le répondeur en ligne (OCSP)

In Hinsicht auf die Gestaltung der Infrastruktur zur Bereitstellung der Sperrinformationen – also der Sperrlistenverteilungspunkte (CRL Distribution Point, CSP) sowie der Online Responder (Online Certificate Status Protocol, OCSP) kommt die Frage auf, ob man diese über Secure Sockets Layer (SSL) bzw. Transport Layer Security (TLS) „absichern“ sollte.

Continuer la lecture de « Verwenden von HTTP über Transport Layer Security (HTTPS) für die Sperrlistenverteilungspunkte (CDP) und den Onlineresponder (OCSP) »

Jeton pour la configuration CDP et AIA d'une autorité de certification

Nachfolgend eine Übersicht über die Tokens für die CDP- und AIA- Konfiguration einer Zertifizierungsstelle.

Continuer la lecture de « Token für die CDP- und AIA- Konfiguration einer Zertifizierungsstelle »

Veröffentlichen einer Zertifikatsperrliste (CRL) auf einem Active Directory Sperrlistenverteilungspunkt (CDP)

Il est parfois nécessaire qu'un certificat délivré par une autorité de certification soit retiré avant sa date d'expiration. Pour ce faire, une autorité de certification tient à jour une liste de révocation. Il s'agit d'un fichier signé avec une date d'expiration relativement courte, qui est utilisé en combinaison avec le certificat pour vérifier sa validité.

In manchen Fällen (beispielsweise bei einer Offline-Zertifizierungsstelle, oder wenn vom Standard abweichende LDAP-Sperrlistenverteilungspunkte konfiguriert wurden) muss die Zertifikatsperrliste manuell ins Active Directory veröffentlicht werden.

Continuer la lecture de « Veröffentlichen einer Zertifikatsperrliste (CRL) auf einem Active Directory Sperrlistenverteilungspunkt (CDP) »

Principes de base des infrastructures à clés publiques (PKI)

Une infrastructure à clé publique comprend tous les composants (matériel, logiciel, personnes et processus) nécessaires à l'utilisation de certificats numériques. Une PKI se compose d'une ou de plusieurs autorités de certification (CA). Les tâches d'une PKI sont notamment les suivantes

  • garantir l'authenticité des clés, c'est-à-dire établir un lien compréhensible entre une clé et son origine afin d'empêcher tout abus
  • la révocation des certificats, c'est-à-dire s'assurer que les clés mises hors service ou compromises (par exemple volées) ne peuvent plus être utilisées
  • Garantie de l'obligation (non-répudiation), c'est-à-dire, par exemple, que le propriétaire d'une clé ne peut pas nier qu'elle lui appartient.
  • Imposer des directives (en anglais policies), c'est-à-dire des procédures standardisées pour l'utilisation des certificats.
Continuer la lecture de « Grundlagen Public Key Infrastrukturen (PKI) »

Utilisation de Microsoft Network Load Balancing (NLB) pour les points de distribution de la liste de blocage (CDP), l'accès aux informations sur les postes (AIA) et les répondeurs en ligne (OCSP)

C'est généralement une bonne idée de garantir à tout moment la disponibilité des points de distribution des listes de blocage (CRL Distribution Point, CDP), des informations sur les autorités (Authority Information Access, AIA) et, le cas échéant, des répondeurs en ligne (Online Responder, OCSP).

L'accès aux informations de révocation est même plus critique que l'accès à l'autorité de certification elle-même. Si le statut de révocation d'un certificat ne peut pas être vérifié, il se peut (selon l'application) que le certificat ne soit pas considéré comme fiable et que le service informatique correspondant ne puisse pas être utilisé.

Continuer la lecture de « Verwenden von Microsoft Network Load Balancing (NLB) für die Sperrlistenverteilungspunkte (CDP), den Zugriff auf Stelleninformationen (AIA) und Onlineresponder (OCSP) »

Transfert des listes de révocation de certificats vers les points de distribution de la liste de révocation à l'aide de SSH Secure Copy (SCP) avec authentification par clé publique (Windows Server 2019)

Si les serveurs qui fournissent les points de distribution des listes de blocage se trouvent par exemple dans une zone démilitarisée (DMZ) ou si, pour d'autres raisons, le transfert de données via Server Message Block (SMB) n'est pas possible, les listes de blocage peuvent être transférées sur les points de distribution à l'aide de SSH Secure Copy (SCP). Depuis Windows Server 2019, il existe les paquets serveur et client OpenSSH. L'installation avec authentification par clé publique (Public Key Authentication) au lieu de mots de passe est décrite ci-dessous à titre d'exemple

Continuer la lecture de « Übertragen der Zertifikatsperrlisten auf die Sperrlistenverteilpunkte mit SSH Secure Copy (SCP) mit Authentifizierung über öffentliche Schlüssel (Windows Server 2019) »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais