Étiquette : certutil

Récupération des certificats à partir des données du module de sortie SMTP

Restaurer une autorité de certification après une catastrophe à partir d'une sauvegarde (backup)Si l'on se réfère à l'article 6 de la loi sur la protection des données, il est probable que l'on constate que des certificats ont été émis entre la dernière sauvegarde et la panne du système, avec la perte de données qui s'ensuit.

Ces certificats ne sont pas enregistrés dans la base de données de l'autorité de certification restaurée et ne peuvent donc pas être restaurés en cas de besoin.

Si l'on utilise le module SMTP Exit, on peut au moins déterminer les numéros de série des certificats à partir des e-mails envoyés et les révoquer.

Continuer la lecture de « Wiederherstellen von Zertifikaten aus den Daten des SMTP Exit Moduls »

La liste locale des certificats des autorités de certification racines de confiance n'est pas synchronisée à partir d'Active Directory.

Supposons le scénario suivant :

  • Une hiérarchie d'autorités de certification est établie dans le réseau et l'autorité de certification racine est représentée dans la partition de configuration de la structure globale Active Directory.
  • Les membres du domaine sont configurés pour exécuter le processus d'auto-inscription et ainsi mettre à jour les autorités de certification racine de confiance à partir de la partition de configuration.
  • Cependant, ce processus ne fonctionne pas avec certains clients. Les certificats de l'autorité de certification racine ne sont pas téléchargés automatiquement et enregistrés dans le magasin de confiance local.
  • Conséquence les demandes de certificats peuvent échouer, par exemple parce que la hiérarchie des autorités de certification n'est pas fiable.
Continuer la lecture de « Der lokale Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen wird nicht aus dem Active Directory synchronisiert »

Dépannage de la demande automatique de certificat (auto-enrollment) via RPC/DCOM (MS-WCCE)

Supposons le scénario suivant :

  • Un modèle de certificat est configuré pour la demande automatique de certificats (auto-inscription).
  • Le modèle de certificat est publié sur une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • Les utilisateurs ou les ordinateurs configurés pour la demande automatique de certificats ne demandent toutefois pas les certificats comme prévu.

Vous trouverez ci-dessous un guide de dépannage.

Continuer la lecture de « Fehlersuche für die automatische Zertifikatbeantragung (Autoenrollment) via RPC/DCOM (MS-WCCE) »

Aucun certificat n'est demandé via l'inscription automatique lorsqu'un utilisateur est connecté via un réseau privé virtuel (VPN).

Supposons le scénario suivant :

  • Un utilisateur travaille à distance via un réseau privé virtuel (VPN)
  • En principe, un certificat devrait être demandé via l'inscription automatique, mais cela n'est pas le cas.
  • Un test de connexion (certutil -ping) à l'autorité de certification génère le message d'erreur suivant :
Server could not be reached: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE) -- (31ms)

CertUtil: -ping command FAILED: 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
CertUtil: The RPC server is unavailable.
Continuer la lecture de « Es wird kein Zertifikat per Autoenrollment beantragt, wenn ein Benutzer per Virtual Private Network (VPN) verbunden ist »

La révocation d'un certificat émis échoue avec le message d'erreur „The data is invalid. 0x8007000d (WIN32 : 13 ERROR_INVALID_DATA)“.“

Supposons le scénario suivant :

  • Un certificat est révoqué via la ligne de commande (certutil -revoke).
  • L'opération échoue avec le message d'erreur suivant :
ICertAdmin::RevokeCertificate: The data is invalid. 0x8007000d (WIN32: 13 ERROR_INVALID_DATA)
Continuer la lecture de « Der Widerruf eines ausgestellten Zertifikats schlägt fehl mit Fehlermeldung „The data is invalid. 0x8007000d (WIN32: 13 ERROR_INVALID_DATA)“ »

Microsoft Outlook : trouver les certificats des destinataires pour les e-mails cryptés S/MIME

Pour dépanner les messages électroniques cryptés à l'aide de Secure/Multipurpose Internet Mail Extensions (S/MIME), il est possible d'exporter la partie cryptée d'un message. Voir à ce sujet l'article „Microsoft Outlook : Extraire un message S/MIME chiffré d'un courriel„ .

Pour savoir avec quels certificats un message a été chiffré, on peut procéder comme suit...

Continuer la lecture de « Microsoft Outlook: Empfänger-Zertifikate bei S/MIME verschlüsselten Mails herausfinden »

Microsoft Outlook : voir quel algorithme a été utilisé pour un courriel chiffré ou signé S/MIME

Nous décrivons ci-dessous l'endroit où l'on peut voir quel algorithme symétrique a été utilisé pour le cryptage d'un courriel reçu et quel algorithme de hachage a été utilisé pour un courriel signé.

Continuer la lecture de « Microsoft Outlook: Einsehen, welcher Algorithmus für eine S/MIME verschlüsselte oder signierte E-Mail verwendet wurde »

Configurer le niveau de journalisation (Log Level) pour le journal des événements de l'autorité de certification

Certains les événements Windows générés par l'autorité de certification ne sont générés qu'à partir d'un certain niveau de journalisation.

Les paragraphes suivants décrivent comment déterminer et modifier le niveau de journalisation d'une autorité de certification.

Continuer la lecture de « Protokollierungsebene (Log Level) für das Ereignisprotokoll der Zertifizierungsstelle konfigurieren »

Détails de l'événement ID 74 de la source Microsoft-Windows-CertificationAuthority

Source de l'événement :Microsoft-Windows-CertificationAuthority
ID de l'événement :74 (0x4A)
Journal des événements :Application
Type d'événement :Erreur
Nom symbolique :MSG_E_BASE_CRL_PUBLICATION_HOST_NAME
Texte de l'événement (en anglais) :Les services de certificats Active Directory n'ont pas pu publier une liste de révocation de certificats (CRL) de base pour la clé %1 à l'emplacement suivant sur le serveur %4 : %2. %3.%5%6
Texte de l'événement (en allemand) :Aucune liste de révocation de certificats de base n'a pu être publiée pour la clé %1 à l'emplacement suivant sur le serveur „ %4 “ : %2. %3.%5%6
Continuer la lecture de « Details zum Ereignis mit ID 74 der Quelle Microsoft-Windows-CertificationAuthority »

Limiter l'utilisation de la clé étendue (EKU) pour les certificats d'autorité de certification racine importés

Une mesure de durcissement judicieuse pour les organismes de certification consiste à limiter les certificats d'organismes de certification, de sorte qu'ils ne puissent être utilisés que pour les certificats effectivement délivrés. utilisation étendue des clés (Extended Key Usage) devient familier.

En cas de compromission de l'autorité de certification, les dommages sont alors limités à ces utilisations étendues de clés. L'utilisation étendue de clés pour la connexion par carte à puce ne serait alors disponible que dans le certificat d'autorité de certification de l'autorité de certification qui délivre effectivement ces certificats.

Continuer la lecture de « Die erweiterte Schlüsselverwendung (Extended Key Usage, EKU) für importierte Stammzertifizierungstellen-Zertifikate einschränken »

Windows Defender détecte certutil comme un logiciel malveillant (Win32/Ceprolad.A)

Supposons le scénario suivant :

certutil -ping -kerberos -config "https://{Servername}/ADPolicyProvider_CEP_Kerberos/service.svc/CEP" CEP

La commande certutil est détectée à tort comme Win32/Ceprolad.A par Windows Defender ou Windows Defender Advanced Threat Protection.

Continuer la lecture de « Windows Defender erkennt certutil als Schadsoftware (Win32/Ceprolad.A) »

Configuration de la surveillance des événements de sécurité (paramètres d'audit) pour les autorités de certification

Contrairement aux événements d'exploitation, qui sont souvent compris sous le terme de „monitoring“, l'audit pour l'autorité de certification est la configuration de la journalisation des événements liés à la sécurité.

Continuer la lecture de « Konfiguration der Überwachung von Sicherheitsereignissen (Auditierungseinstellungen) für Zertifizierungsstellen »

Réaliser un test de fonctionnement pour un organisme de certification

Après l'installation d'une autorité de certification, après la migration vers un nouveau serveur ou après des travaux de maintenance importants, un test fonctionnel complet doit être effectué afin de s'assurer que tous les composants de l'autorité de certification fonctionnent comme prévu.

Continuer la lecture de « Funktionstest durchführen für eine Zertifizierungsstelle »

Publication d'une liste de révocation de certificats (CRL) sur un point de distribution de listes de révocation (CDP) Active Directory

Il est parfois nécessaire qu'un certificat délivré par une autorité de certification soit retiré avant sa date d'expiration. Pour ce faire, une autorité de certification tient à jour une liste de révocation. Il s'agit d'un fichier signé avec une date d'expiration relativement courte, qui est utilisé en combinaison avec le certificat pour vérifier sa validité.

Dans certains cas (par exemple, dans le cas d'une autorité de certification hors ligne ou si des points de distribution de listes de révocation LDAP non conformes à la norme ont été configurés), la liste de révocation des certificats doit être publiée manuellement dans Active Directory.

Continuer la lecture de « Veröffentlichen einer Zertifikatsperrliste (CRL) auf einem Active Directory Sperrlistenverteilungspunkt (CDP) »

Création et publication d'une liste de révocation de certificats

Il est parfois nécessaire qu'un certificat délivré par une autorité de certification soit retiré avant sa date d'expiration. Pour ce faire, une autorité de certification tient à jour une liste de révocation. Il s'agit d'un fichier signé avec une date d'expiration relativement courte, qui est utilisé en combinaison avec le certificat pour vérifier sa validité.

Une fois qu'un certificat a été révoqué, une nouvelle liste de révocation doit être créée et publiée afin que les entités qui vérifient le statut de révocation soient informées de la révocation. La liste de révocation ayant une date d'expiration relativement courte, elle doit être réémise à intervalles réguliers, même si son contenu n'a pas changé.

Continuer la lecture de « Erstellen und Veröffentlichen einer Zertifikatsperrliste »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais