Étiquette : certutil

Récupération des certificats à partir des données du module de sortie SMTP

Restaurer une autorité de certification après une catastrophe à partir d'une sauvegarde (backup)Si l'on se réfère à l'article 6 de la loi sur la protection des données, il est probable que l'on constate que des certificats ont été émis entre la dernière sauvegarde et la panne du système, avec la perte de données qui s'ensuit.

Ces certificats ne sont pas enregistrés dans la base de données de l'autorité de certification restaurée et ne peuvent donc pas être restaurés en cas de besoin.

Si l'on utilise le module SMTP Exit, on peut au moins déterminer les numéros de série des certificats à partir des e-mails envoyés et les révoquer.

Continuer la lecture de « Wiederherstellen von Zertifikaten aus den Daten des SMTP Exit Moduls »

La liste locale des certificats des autorités de certification racines de confiance n'est pas synchronisée à partir d'Active Directory.

Supposons le scénario suivant :

  • Es ist eine Zertifizierungsstellen-Hierarchie im Netzwerk etabliert und die Stammzertifizierungsstelle ist in der Configuration-Partition der Active Directory Gesamtstruktur abgebildet.
  • Die Domänenmitglieder sind konfiguriert, den Autoenrollment-Prozess auszuführen und somit vertrauenswürdige Stammzertifizierungsstellen aus der Configuration-Partition zu aktualisieren.
  • Bei einigen Clients funktioniert dieser Prozess allerdings nicht. Die Stammzertifizierungsstellen-Zertifikate werden nicht automatisch heruntergeladen und in den lokalen Vertrauensspeicher eingetragen.
  • Als Folgeerscheinung können Zertifikatbeantragungen fehlschlagen, da beispielsweise der Zertifizierungsstellen-Hierarchie nicht vertraut wird.
Continuer la lecture de « Der lokale Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen wird nicht aus dem Active Directory synchronisiert »

Dépannage de la demande automatique de certificat (auto-enrollment) via RPC/DCOM (MS-WCCE)

Supposons le scénario suivant :

  • Un modèle de certificat est configuré pour la demande automatique de certificats (auto-inscription).
  • Le modèle de certificat est publié sur une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • Les utilisateurs ou les ordinateurs configurés pour la demande automatique de certificats ne demandent toutefois pas les certificats comme prévu.

Vous trouverez ci-dessous un guide de dépannage.

Continuer la lecture de « Fehlersuche für die automatische Zertifikatbeantragung (Autoenrollment) via RPC/DCOM (MS-WCCE) »

Aucun certificat n'est demandé via l'inscription automatique lorsqu'un utilisateur est connecté via un réseau privé virtuel (VPN).

Supposons le scénario suivant :

  • Ein Benutzer arbeitet remote über Virtual Private Network (VPN)
  • Eigentlich sollte per Autoenrollment ein Zertifikat beantragt werden, dies erfolgt jedoch nicht
  • Ein Verbindungstest (certutil -ping) zur Zertifizierungsstelle wirft folgende Fehlermeldung:
Server could not be reached: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE) -- (31ms)

CertUtil: -ping command FAILED: 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
CertUtil: The RPC server is unavailable.
Continuer la lecture de « Es wird kein Zertifikat per Autoenrollment beantragt, wenn ein Benutzer per Virtual Private Network (VPN) verbunden ist »

La révocation d'un certificat émis échoue avec le message d'erreur „The data is invalid. 0x8007000d (WIN32 : 13 ERROR_INVALID_DATA)“.“

Supposons le scénario suivant :

  • Un certificat est révoqué via la ligne de commande (certutil -revoke).
  • L'opération échoue avec le message d'erreur suivant :
ICertAdmin::RevokeCertificate: The data is invalid. 0x8007000d (WIN32: 13 ERROR_INVALID_DATA)
Continuer la lecture de « Der Widerruf eines ausgestellten Zertifikats schlägt fehl mit Fehlermeldung „The data is invalid. 0x8007000d (WIN32: 13 ERROR_INVALID_DATA)“ »

Microsoft Outlook : trouver les certificats des destinataires pour les e-mails cryptés S/MIME

Pour dépanner les messages électroniques cryptés à l'aide de Secure/Multipurpose Internet Mail Extensions (S/MIME), il est possible d'exporter la partie cryptée d'un message. Voir à ce sujet l'article „Microsoft Outlook : Extraire un message S/MIME chiffré d'un courriel„ .

Pour savoir avec quels certificats un message a été chiffré, on peut procéder comme suit...

Continuer la lecture de « Microsoft Outlook: Empfänger-Zertifikate bei S/MIME verschlüsselten Mails herausfinden »

Microsoft Outlook : voir quel algorithme a été utilisé pour un courriel chiffré ou signé S/MIME

Nous décrivons ci-dessous l'endroit où l'on peut voir quel algorithme symétrique a été utilisé pour le cryptage d'un courriel reçu et quel algorithme de hachage a été utilisé pour un courriel signé.

Continuer la lecture de « Microsoft Outlook: Einsehen, welcher Algorithmus für eine S/MIME verschlüsselte oder signierte E-Mail verwendet wurde »

Configurer le niveau de journalisation (Log Level) pour le journal des événements de l'autorité de certification

Certains les événements Windows générés par l'autorité de certification ne sont générés qu'à partir d'un certain niveau de journalisation.

Les paragraphes suivants décrivent comment déterminer et modifier le niveau de journalisation d'une autorité de certification.

Continuer la lecture de « Protokollierungsebene (Log Level) für das Ereignisprotokoll der Zertifizierungsstelle konfigurieren »

Détails de l'événement ID 74 de la source Microsoft-Windows-CertificationAuthority

Source de l'événement :Microsoft-Windows-CertificationAuthority
ID de l'événement :74 (0x4A)
Journal des événements :Application
Type d'événement :Erreur
Nom symbolique :MSG_E_BASE_CRL_PUBLICATION_HOST_NAME
Texte de l'événement (en anglais) :Les services de certificats Active Directory n'ont pas pu publier une liste de révocation de certificats (CRL) de base pour la clé %1 à l'emplacement suivant sur le serveur %4 : %2. %3.%5%6
Texte de l'événement (en allemand) :Aucune liste de révocation de certificats de base n'a pu être publiée pour la clé %1 à l'emplacement suivant sur le serveur „ %4 “ : %2. %3.%5%6
Continuer la lecture de « Details zum Ereignis mit ID 74 der Quelle Microsoft-Windows-CertificationAuthority »

Limiter l'utilisation de la clé étendue (EKU) pour les certificats d'autorité de certification racine importés

Une mesure de durcissement judicieuse pour les organismes de certification consiste à limiter les certificats d'organismes de certification, de sorte qu'ils ne puissent être utilisés que pour les certificats effectivement délivrés. utilisation étendue des clés (Extended Key Usage) devient familier.

Im Fall einer Kompromittierung der Zertifizierungsstelle ist der Schaden dann auf diese Extended Key Usages beschränkt. Das Smart Card Logon Extended Key Usage wäre dann nur in dem Zertifizierungsstellen-Zertifikat derjenigen Zertifizierungsstelle, die auch tatsächlich solche Zertifikate ausstellt, vorhanden.

Continuer la lecture de « Die erweiterte Schlüsselverwendung (Extended Key Usage, EKU) für importierte Stammzertifizierungstellen-Zertifikate einschränken »

Windows Defender erkennt certutil als Schadsoftware (Win32/Ceprolad.A)

Supposons le scénario suivant :

certutil -ping -kerberos -config "https://{Servername}/ADPolicyProvider_CEP_Kerberos/service.svc/CEP" CEP

Der certutil Befehl wird vom Windows Defender bzw. Windows Defenter Advanced Threat Protection fälschlicherweise als Win32/Ceprolad.A erkannt.

Continuer la lecture de « Windows Defender erkennt certutil als Schadsoftware (Win32/Ceprolad.A) »

Configuration de la surveillance des événements de sécurité (paramètres d'audit) pour les autorités de certification

Contrairement aux événements d'exploitation, qui sont souvent compris sous le terme de „monitoring“, l'audit pour l'autorité de certification est la configuration de la journalisation des événements liés à la sécurité.

Continuer la lecture de « Konfiguration der Überwachung von Sicherheitsereignissen (Auditierungseinstellungen) für Zertifizierungsstellen »

Réaliser un test de fonctionnement pour un organisme de certification

Nach der Installation einer Zertifizierungsstelle, nach der Migration auf einen neuen Server, oder nach umfangreicheren Wartungsarbeiten sollte ein ausgiebiger Funktionstest erfolgen, um sicherzustellen, dass alle Komponenten der Zertifizierungsstelle wie gewünscht arbeiten.

Continuer la lecture de « Funktionstest durchführen für eine Zertifizierungsstelle »

Veröffentlichen einer Zertifikatsperrliste (CRL) auf einem Active Directory Sperrlistenverteilungspunkt (CDP)

Il est parfois nécessaire qu'un certificat délivré par une autorité de certification soit retiré avant sa date d'expiration. Pour ce faire, une autorité de certification tient à jour une liste de révocation. Il s'agit d'un fichier signé avec une date d'expiration relativement courte, qui est utilisé en combinaison avec le certificat pour vérifier sa validité.

In manchen Fällen (beispielsweise bei einer Offline-Zertifizierungsstelle, oder wenn vom Standard abweichende LDAP-Sperrlistenverteilungspunkte konfiguriert wurden) muss die Zertifikatsperrliste manuell ins Active Directory veröffentlicht werden.

Continuer la lecture de « Veröffentlichen einer Zertifikatsperrliste (CRL) auf einem Active Directory Sperrlistenverteilungspunkt (CDP) »

Création et publication d'une liste de révocation de certificats

Il est parfois nécessaire qu'un certificat délivré par une autorité de certification soit retiré avant sa date d'expiration. Pour ce faire, une autorité de certification tient à jour une liste de révocation. Il s'agit d'un fichier signé avec une date d'expiration relativement courte, qui est utilisé en combinaison avec le certificat pour vérifier sa validité.

Nachdem ein Zertifikat widerrufen wurde, muss eine neue Sperrliste erstellt und veröffentlicht werden, damit Entitäten, die den Sperrstatus überprüfen, über die Sperrung informiert werden. Da die Sperrliste ein verhältnismäßig kurzes Ablaufdatum hat, muss sie auch ohne inhaltliche Änderung in regelmäßigen Abständen neu ausgestellt werden.

Continuer la lecture de « Erstellen und Veröffentlichen einer Zertifikatsperrliste »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais