Étiquette : certlm.msc

Lors de la restauration d'une autorité de certification, le certificat d'autorité de certification ne peut pas être sélectionné lors de l'installation des rôles.

Supposons le scénario suivant :

Continuer la lecture de « Bei der Wiederherstellung einer Zertifizierungsstelle ist das Zertifizierungsstellen-Zertifikat bei der Rollen-Installation nicht auswählbar »

Dépannage de la demande automatique de certificat (auto-enrollment) via RPC/DCOM (MS-WCCE)

Supposons le scénario suivant :

  • Un modèle de certificat est configuré pour la demande automatique de certificats (auto-inscription).
  • Le modèle de certificat est publié sur une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • Les utilisateurs ou les ordinateurs configurés pour la demande automatique de certificats ne demandent toutefois pas les certificats comme prévu.

Vous trouverez ci-dessous un guide de dépannage.

Continuer la lecture de « Fehlersuche für die automatische Zertifikatbeantragung (Autoenrollment) via RPC/DCOM (MS-WCCE) »

La demande d'un certificat via Enroll on Behalf of (EOBO) n'est pas possible car le modèle de certificat ne s'affiche pas. Le message d'erreur est le suivant : „The certificate template requires too many RA signatures“.“

Supposons le scénario suivant :

  • Un certificat est demandé pour un utilisateur ou un ordinateur auprès d'une autorité de certification via la console de gestion des certificats (certlm.msc ou certmgr.msc).
  • On utilise pour cela le Inscription à la demande de (EOBO) Mécanisme.
  • Le modèle de certificat souhaité ne s'affiche pas.
  • Si l'on coche la case „Show all templates“, le message d'erreur suivant s'affiche pour le modèle de certificat souhaité :
The certificate template requires too many RA signatures. Only one RA signature is allowed. Multiple request agent signatures are not permitted on a certificate request.
Continuer la lecture de « Die Beantragung eines Zertifikats über Enroll on Behalf of (EOBO) ist nicht möglich, da die Zertifikatvorlage nicht angezeigt wird. Die Fehlermeldung lautet „The certificate template requires too many RA signatures.“ »

Configuration de l'attestation de clé du module TPM (Trusted Platform Module)

Depuis Windows 8, c'est possible, que les clés privées des certificats soient protégées par un module de plate-forme de confiance (TPM), si celui-ci est disponible. De ce fait, la clé n'est pas exportable - même avec des outils comme mimikatz.

Au premier coup d'œil, il n'est toutefois pas évident de garantir l'utilisation d'un TPM. Il est vrai que pas de demande possible via la Microsoft Management Console ou AutoEnrollment si l'ordinateur ne dispose pas de TPM.

Toutefois, la configuration dans le modèle de certificat n'est qu'une configuration par défaut pour le client. L'autorité de certification, lorsqu'elle demande un certificat ne pas vérifier explicitement si un module Trusted Platform a vraiment été utilisé.

Pour s'assurer que la clé privée d'une demande de certificat a bien été protégée par un module Trusted Platform, il ne reste donc que l'attestation de clé TPM.

Continuer la lecture de « Konfigurieren der Trusted Platform Module (TPM) Key Attestation »

Demande manuelle d'un certificat de serveur web

Dans certains cas, il n'est pas possible ou souhaitable d'obtenir des certificats de serveur web directement auprès d'une autorité de certification de sa propre structure globale Active Directory via la Microsoft Management Console, par exemple lorsque le système concerné n'est pas membre du domaine.

Dans ce cas, il n'est pas possible d'utiliser des modèles de certificats et il faut créer manuellement une demande de certificat (Certificate Signing Request, CSR).

Continuer la lecture de « Manuelle Beantragung eines Webserver-Zertifikats »

La demande de certificat n'est pas possible, car le modèle de certificat ne s'affiche pas. Le message d'erreur est „Can not find a valid CSP in the local machine“.“

Supposons le scénario suivant :

  • Un certificat est demandé pour un utilisateur ou un ordinateur auprès d'une autorité de certification via la console de gestion des certificats (certlm.msc ou certmgr.msc).
  • Autoenrollment ne demande pas de certificat du modèle de certificat souhaité, bien qu'il soit activé et que les autorisations soient définies en conséquence.
  • Le modèle de certificat souhaité ne s'affiche pas lors d'une demande manuelle via la console de gestion Microsoft (MMC). Si l'on active la case à cocher „Show all templates“, le message d'erreur suivant s'affiche pour le modèle de certificat souhaité :
Cannot find object or property.
Can not find a valid CSP in the local machine.
Continuer la lecture de « Die Beantragung eines Zertifikats ist nicht möglich, da die Zertifikatvorlage nicht angezeigt wird. Die Fehlermeldung lautet „Can not find a valid CSP in the local machine.“ »

Modifier l'algorithme de signature d'une hiérarchie d'autorités de certification sans émettre de nouveaux certificats d'autorité de certification

Il peut parfois être nécessaire de algorithme de signature modifier ultérieurement une hiérarchie d'autorités de certification déjà installée.

C'est souvent le cas lorsque ces derniers ont été installés avec PKCS#1 version 2.1 et que l'on constate malheureusement par la suite que toutes les applications ne sont pas compatibles avec les certificats qui en résultent et ne peuvent donc pas utiliser la hiérarchie.

S'il est encore relativement facile de modifier a posteriori l'algorithme de signature pour les certificats délivrés par une autorité de certification, cela s'avère plus difficile pour les certificats des autorités de certification.

Continuer la lecture de « Den Signaturalgorithmus einer Zertifizierungsstellen-Hierarchie ändern, ohne neue Zertifizierungsstellen-Zertifikate auszustellen »

Vérification de la connexion à la clé privée d'un certificat (par exemple, lors de l'utilisation d'un module de sécurité matériel)

Pour un test de fonctionnement ou lors d'une recherche d'erreur, il peut être utile de vérifier si la clé privée d'un certificat est utilisable. Si la clé est par exemple sécurisée par un module de sécurité matériel (HSM), il y a nettement plus de dépendances et de possibilités d'erreurs que pour une clé logicielle.

Continuer la lecture de « Überprüfen der Verbindung zum privaten Schlüssel eines Zertifikate (z.B. bei Einsatz eines Hardware Security Moduls) »

Restauration d'une autorité de certification à partir d'une sauvegarde (backup)

La procédure de restauration d'une autorité de certification à partir de la sauvegarde est décrite ci-dessous. Outre les situations de catastrophe, cette procédure fait également partie de la Migration d'une autorité de certification vers un nouveau serveur.

Continuer la lecture de « Wiederherstellung einer Zertifizierungsstelle aus der Sicherung (Backup) »

Récupération d'un certificat d'autorité de certification avec le module de sécurité matériel (HSM)

La procédure suivante décrit la restauration d'un certificat d'autorité de certification à l'aide d'une clé logicielle.

La restauration du certificat de l'autorité de certification peut être nécessaire pour les raisons suivantes :

Continuer la lecture de « Wiederherstellung eines Zertifizierungsstellenzertifikats mit Hardware Security Modul (HSM) »

Récupération d'un certificat d'autorité de certification avec une clé logicielle

La procédure suivante décrit la restauration d'un certificat d'autorité de certification à l'aide d'une clé logicielle.

La restauration du certificat de l'autorité de certification peut être nécessaire pour les raisons suivantes :

Continuer la lecture de « Wiederherstellung eines Zertifizierungsstellenzertifikats mit Software-Schlüssel »

La demande de certificat échoue avec le message d'erreur „ 0x800b0101 (-2146762495 CERT_E_EXPIRED) “.“

Supposons le scénario suivant :

  • Un utilisateur demande un certificat auprès d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • La demande de certificat échoue avec le message d'erreur suivant.
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „0x800b0101 (-2146762495 CERT_E_EXPIRED)“ »

Le service d'autorité de certification ne démarre pas et affiche le message d'erreur "A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT)".

Supposons le scénario suivant :

  • Une autorité de certification est mise en œuvre sur le réseau.
  • Le service d'autorité de certification ne démarre pas
  • Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :
A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT)
Continuer la lecture de « Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT)“ »

Le service d'autorité de certification ne démarre pas et affiche le message d'erreur "A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING)".

Supposons le scénario suivant :

  • Une autorité de certification est mise en œuvre sur le réseau.
  • Le service d'autorité de certification ne démarre pas
  • Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :
A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING)
Continuer la lecture de « Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING)“ »

La demande de certificat échoue avec le message d'erreur "You cannot request a certificate at this time because no certificate types are available".

Supposons le scénario suivant :

  • On essaie de demander un certificat à une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • Pour ce faire, on utilise la console de gestion Microsoft (MMC), soit pour l'utilisateur connecté (certmgr.msc), soit pour l'ordinateur (certlm.msc).
  • L'utilisateur connecté dispose également des autorisations nécessaires pour demander des certificats du modèle de certificat concerné (Enroll).
  • Aucun modèle de certificat n'est proposé à la sélection, alors qu'il a été correctement publié sur les sites des autorités de certification.
  • Il n'y a pas non plus d'option "Show hidden templates". Celle-ci apparaît habituellement en bas à gauche de la boîte de dialogue.
  • Le message d'erreur suivant s'affiche :
Certificate types are not available. You cannot request a certificate at this time because no certificate types are available. If you need a certificate, contact your administrator.
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung „You cannot request a certificate at this time because no certificate types are available.“ »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais