Étiquette : certutil

Révocation d'un certificat délivré

Il est parfois nécessaire qu'un certificat délivré par une autorité de certification soit retiré avant sa date d'expiration. Pour ce faire, une autorité de certification tient à jour une liste de révocation. Il s'agit d'un fichier signé avec une date d'expiration relativement courte, qui est utilisé en combinaison avec le certificat pour vérifier sa validité.

Lorsqu'un certificat est révoqué, son numéro de série est ajouté à la liste de révocation. Les entités qui vérifient la révocation d'un certificat le considèrent alors comme non valide.

Continuer la lecture de « Widerrufen eines ausgestellten Zertifikats »

Après l'installation ou la migration d'une autorité de certification sur un nouveau serveur, il n'est plus possible de publier ses propres modèles de certificats.

Supposons le scénario suivant :

Continuer la lecture de « Nach Installation oder Migration einer Zertifizierungsstelle auf einen neuen Server können keine eigenen Zertifikatvorlagen mehr veröffentlicht werden »

Consulter et supprimer le cache de la politique d'inscription des certificats (Enrollment Policy Cache) pour le Certificate Enrollment Policy Web Service (CEP)

Une fois qu'une politique d'enregistrement des certificats (Enrollment Policy) a été configurée et utilisée par un participant, les résultats sont mis en cache localement (Enrollment Policy Cache).

Si l'on procède maintenant à des modifications de l'infrastructure, par exemple en publiant ou en supprimant un nouveau modèle de certificat sur une autorité de certification accessible via le Certificate Enrollment Web Service (CES), ces modifications ne sont pas immédiatement visibles pour les participants en raison de la mise en mémoire tampon.

C'est pourquoi il peut être utile, dans certaines circonstances, de consulter ou d'effacer la mémoire tampon.

Continuer la lecture de « Den Zwischenspeicher für Zertifikatregistrierungsrichtlinien (Enrollment Policy Cache) für den Certificate Enrollment Policy Web Service (CEP) einsehen und löschen »

Exécution manuelle du processus d'auto-enrollment

Par défaut, tous les membres du domaine répliquent automatiquement l'objet Public Key Services de la structure globale d'Active Directory par le processus d'auto-enrollment. Les déclencheurs sont les suivants

  • à l'ouverture de session de l'utilisateur (sur les ordinateurs, lorsque le compte de l'ordinateur se connecte, c'est-à-dire au démarrage du système)
  • Par minuterie toutes les 8 heures.
  • Lors d'une mise à jour de la stratégie de groupe, à condition qu'il y ait eu un changement.

Si l'on ne souhaite pas attendre que l'auto-enrollment soit déclenché automatiquement, il est également possible de le lancer manuellement. Les différentes manières d'exécuter le processus d'auto-enrollment sont décrites ci-dessous.

Continuer la lecture de « Manuelles Ausführen des Autoenrollment Prozesses »

Inspecter une demande de certificat (CSR)

On souhaite souvent vérifier une demande de certificat avant de la transmettre à une autorité de certification - ou avant d'émettre le certificat - pour s'assurer qu'elle contient les valeurs souhaitées.

La manière d'y parvenir est décrite ci-dessous.

Continuer la lecture de « Eine Zertifikatanforderung (CSR) inspizieren »

Modifier ultérieurement le Subject Distinguished Name (DN) d'une demande de certificat (CSR)

Il est parfois nécessaire de modifier le Subject Distinguished Name (également appelé Subject, Subject DN, demandeur ou sujet) d'une demande de certificat avant l'émission du certificat.

Dans certaines circonstances, cela est tout à fait possible, comme décrit ci-dessous.

Continuer la lecture de « Den Subject Distinguished Name (DN) einer Zertifikatanforderung (CSR) nachträglich verändern »

(Ré)installation des modèles de certificats Microsoft Standard

Il peut y avoir des cas où il est nécessaire d'installer les modèles de certificats Microsoft standard avant d'installer la première autorité de certification intégrée à Active Directory (Enterprise Certification Authority) ou de réinstaller les modèles, par exemple parce qu'ils ont été endommagés ou modifiés d'une autre manière.

Continuer la lecture de « (Neu-) Installieren der Microsoft Standard Zertifikatvorlagen »

Mise en danger de la structure globale d'Active Directory par le drapeau EDITF_ATTRIBUTESUBJECTALTNAME2

En réseau circulent malheureusement beaucoup sur beaucoup de Instructions (même les grands acteurs n'en sont pas excluspas même Microsoft lui-même ou le Grand Maître Komar), qui recommandent fatalement que le drapeau EDITF_ATTRIBUTESUBJECTALTNAME2 soit activé sur l'autorité de certification - soi-disant pour être en mesure d'émettre des certificats avec l'extension Subject Alternative Name (SAN) pour les demandes de certificats faites manuellement.

Malheureusement, cette procédure n'est pas seulement inutile, elle a aussi quelques effets secondaires désagréables qui peuvent, dans le pire des cas, aider un attaquant à prendre le contrôle de toute la structure globale d'Active Directory.

Continuer la lecture de « Gefährdung der Active Directory Gesamtstruktur durch das Flag EDITF_ATTRIBUTESUBJECTALTNAME2 »

Description du drapeau EDITF_ADDOLDKEYUSAGE

Lorsque l'on installe une autorité de certification subordonnée, il se peut que l'on se heurte au comportement suivant :

  • On demande une extension Key Usage qui est par exemple marquée comme critique ou qui ne contient pas DigitalSignature.
  • Cependant, le certificat délivré par l'autorité de certification parente contient DigitalSignature et l'extension Key Usage est marquée comme non critique.
  • L'autorité de certification supérieure est une autorité de certification autonome, c'est-à-dire sans intégration Active Directory.
Continuer la lecture de « Beschreibung des Flags EDITF_ADDOLDKEYUSAGE »

Importer un certificat dans une carte à puce

Il est parfois nécessaire d'importer dans une carte à puce un certificat qui utilise une clé logicielle.

Continuer la lecture de « Importieren eines Zertifikats in eine Smartcard »

Suppression (en masse) d'entrées dans la base de données des autorités de certification (certificats, exigences, listes de révocation)

Il arrive parfois que la base de données de l'autorité de certification devienne extrêmement volumineuse. Il se peut qu'un grand nombre de demandes de certificats soient arrivées et aient été refusées sans que l'on s'en aperçoive, ou que la base de données contienne de nombreux certificats qui ont été émis en double. Avant que la base de données de l'autorité de certification compacté Pour que la base de données puisse être utilisée de manière optimale, ces entrées doivent d'abord être supprimées afin de libérer de l'espace dans la base de données.

Continuer la lecture de « (Massenhaftes) Löschen von Einträgen in der Zertifizierungsstellen-Datenbank (Zertifikate, Anforderungen, Sperrlisten) »

Compactage (défragmentation) de la base de données de l'autorité de certification

Il arrive parfois que la base de données de l'autorité de certification devienne extrêmement volumineuse. Il se peut qu'un grand nombre de demandes de certificats soient arrivées sans que l'on s'en aperçoive et qu'elles aient été refusées, il se peut aussi que la base de données contienne de nombreux certificats qui ont été émis en double. Après que les entrées correspondantes ont été supprimées de la base de données des organismes de certificationSi l'espace de stockage est déjà utilisé, il faut (peut) encore libérer l'espace ainsi gagné en le comprimant dans le système de fichiers du serveur.

Continuer la lecture de « Kompaktieren (Defragmentieren) der Zertifizierungsstellen-Datenbank »

Consultation du tableau des listes de blocage de la base de données des autorités de certification

Par défaut, l'autorité de certification enregistre toutes les listes de révocation qui n'ont pas encore expiré dans la base de données de l'autorité de certification.

Dans certaines circonstances, par exemple à cause d'un script mal configuré, de très nombreuses listes de blocage sont ainsi enregistrées dans la base de données, ce qui peut entraîner une croissance correspondante de la base de données (par exemple si de grandes listes de blocage sont recréées très souvent).

Continuer la lecture de « Einsicht in die Sperrlisten-Tabelle der Zertifizierungsstellen-Datenbank »

certutil -dcinfo échoue avec le message d'erreur "KDC certificates : Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)"

Supposons le scénario suivant :

  • Les contrôleurs de domaine disposent de certificats pour LDAP sur SSL.
  • Les certificats ne comprennent pas l'utilisation de la clé étendue "Smart Card Logon" ni "Kerberos Authentication".
  • Si l'on exécute certutil -dcinfo, la commande affiche le message d'erreur suivant :
0 KDC certificates for DC01
No KDC Certificate in MY store
KDC certificates: Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)
Continuer la lecture de « certutil -dcinfo schlägt fehl mit Fehlermeldung „KDC certificates: Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)“ »

La publication manuelle d'une liste de révocation de certificats (CRL) dans Active Directory échoue avec le message d'erreur 0x8007202b (WIN32 : 8235 ERROR_DS_REFERRAL)

Supposons le scénario suivant :

  • Une autorité de certification racine hors ligne a été installée. Le serveur sur lequel l'autorité de certification est installée n'est pas un membre du domaine.
  • Celle-ci est configurée pour les publications de listes de blocage dans Active Directory.
  • Les listes de blocage sont téléchargées dans Active Directory à l'aide de certutil -dspublish.
  • L'opération échoue avec le message d'erreur suivant :
certutil -dspublish "ADCS Labor Root CA.crl"
 ldap:///CN=ADCS Labor Root CA,CN=ADCS Labor Root CA,CN=cdp,CN=Public Key Services,CN=Services,DC=UnavailableConfigDN?certificateRevocationList?base?objectClass=cRLDistributionPoint?certificateRevocationList
 ldap: 0xa: LDAP_REFERRAL: 0000202B: RefErr: DSID-03100835, data 0, 1 access points
         ref 1: 'unavailableconfigdn'
 CertUtil: -dsPublish command FAILED: 0x8007202b (WIN32: 8235 ERROR_DS_REFERRAL)
 CertUtil: A referral was returned from the server.
Continuer la lecture de « Die manuelle Veröffentlichung einer Zertifikatsperrliste (CRL) ins Active Directory schlägt fehl mit Fehlermeldung 0x8007202b (WIN32: 8235 ERROR_DS_REFERRAL) »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais