Étiquette : Liste de révocation des certificats (CRL)

Détails de l'événement ID 65 de la source Microsoft-Windows-CertificationAuthority

Source de l'événement :Microsoft-Windows-CertificationAuthority
ID de l'événement :65 (0x41)
Journal des événements :Application
Type d'événement :Erreur
Nom symbolique :MSG_E_BASE_CRL_PUBLICATION
Texte de l'événement (en anglais) :Les services de certificats Active Directory n'ont pas pu publier une liste de révocation de certificats (CRL) de base pour la clé %1 à l'emplacement suivant : %2. %3.%5%6
Texte de l'événement (en allemand) :Aucune liste de révocation de certificat de base n'a pu être publiée pour la clé %1 à l'emplacement suivant : %2. %3.%5%6
Continuer la lecture de « Details zum Ereignis mit ID 65 der Quelle Microsoft-Windows-CertificationAuthority »

Détails de l'événement ID 66 de la source Microsoft-Windows-CertificationAuthority

Source de l'événement :Microsoft-Windows-CertificationAuthority
ID de l'événement :66 (0x42)
Journal des événements :Application
Type d'événement :Erreur
Nom symbolique :MSG_E_DELTA_CRL_PUBLICATION
Texte de l'événement (en anglais) :Les services de certificats Active Directory n'ont pas pu publier une liste de révocation delta pour la clé %1 à l'emplacement suivant : %2. %3.%5%6
Texte de l'événement (en allemand) :Aucune liste de révocation de certificats Delta n'a pu être publiée pour la clé %1 à l'emplacement suivant : %2. %3.%5%6
Continuer la lecture de « Details zum Ereignis mit ID 66 der Quelle Microsoft-Windows-CertificationAuthority »

Principes de base : vérification du statut de révocation des certificats

Si un certificat valide et non encore expiré doit être retiré de la circulation, il doit être révoqué. À cette fin, les autorités de certification tiennent à jour des listes de blocage dans lesquelles sont répertoriées les empreintes numériques des certificats révoqués. Elles doivent être consultées lors du contrôle de validité.

Continuer la lecture de « Grundlagen: Überprüfung des Sperrstatus von Zertifikaten »

Réaliser un test de fonctionnement pour un organisme de certification

Après l'installation d'une autorité de certification, après la migration vers un nouveau serveur ou après des travaux de maintenance importants, un test fonctionnel complet doit être effectué afin de s'assurer que tous les composants de l'autorité de certification fonctionnent comme prévu.

Continuer la lecture de « Funktionstest durchführen für eine Zertifizierungsstelle »

Publication d'une liste de révocation de certificats (CRL) sur un point de distribution de listes de révocation (CDP) Active Directory

Il est parfois nécessaire qu'un certificat délivré par une autorité de certification soit retiré avant sa date d'expiration. Pour ce faire, une autorité de certification tient à jour une liste de révocation. Il s'agit d'un fichier signé avec une date d'expiration relativement courte, qui est utilisé en combinaison avec le certificat pour vérifier sa validité.

Dans certains cas (par exemple, dans le cas d'une autorité de certification hors ligne ou si des points de distribution de listes de révocation LDAP non conformes à la norme ont été configurés), la liste de révocation des certificats doit être publiée manuellement dans Active Directory.

Continuer la lecture de « Veröffentlichen einer Zertifikatsperrliste (CRL) auf einem Active Directory Sperrlistenverteilungspunkt (CDP) »

Création et publication d'une liste de révocation de certificats

Il est parfois nécessaire qu'un certificat délivré par une autorité de certification soit retiré avant sa date d'expiration. Pour ce faire, une autorité de certification tient à jour une liste de révocation. Il s'agit d'un fichier signé avec une date d'expiration relativement courte, qui est utilisé en combinaison avec le certificat pour vérifier sa validité.

Une fois qu'un certificat a été révoqué, une nouvelle liste de révocation doit être créée et publiée afin que les entités qui vérifient le statut de révocation soient informées de la révocation. La liste de révocation ayant une date d'expiration relativement courte, elle doit être réémise à intervalles réguliers, même si son contenu n'a pas changé.

Continuer la lecture de « Erstellen und Veröffentlichen einer Zertifikatsperrliste »

Révocation d'un certificat délivré

Il est parfois nécessaire qu'un certificat délivré par une autorité de certification soit retiré avant sa date d'expiration. Pour ce faire, une autorité de certification tient à jour une liste de révocation. Il s'agit d'un fichier signé avec une date d'expiration relativement courte, qui est utilisé en combinaison avec le certificat pour vérifier sa validité.

Lorsqu'un certificat est révoqué, son numéro de série est ajouté à la liste de révocation. Les entités qui vérifient la révocation d'un certificat le considèrent alors comme non valide.

Continuer la lecture de « Widerrufen eines ausgestellten Zertifikats »

Lorsqu'un certificat d'autorité de certification a été révoqué, aucune liste de révocation n'est plus émise pour ce certificat.

Supposons le scénario suivant :

  • Une autorité de certification dispose de plusieurs certificats d'autorité de certification.
  • Plusieurs certificats d'autorité de certification utilisent la même clé privée, par exemple parce que le certificat d'autorité de certification a été renouvelé avec la même paire de clés.
  • Si l'un de ces certificats d'autorité de certification est révoqué, l'autorité de certification ne délivrera plus de listes de révocation pour les autres certificats d'autorité de certification qui utilisent la même clé.
Continuer la lecture de « Wenn ein Zertifizierungsstellen-Zertifikat widerrufen wurde, wird keine Sperrliste mehr für das Zertifizierungsstellen-Zertifikat ausgestellt »

Quelle est l'influence de l'expiration de la liste de révocation d'une autorité de certification supérieure sur l'autorité de certification ?

Malheureusement, il arrive parfois dans la pratique que la liste de blocage d'une autorité de certification supérieure expire et ne soit pas renouvelée. Cela peut également se produire de manière planifiée, par exemple lors de la mise hors service d'une ancienne hiérarchie.

Continuer la lecture de « Welchen Einfluss hat der Ablauf der Sperrliste einer der übergeordneten Zertifizierungsstellen auf die Zertifizierungsstelle? »

Consulter et supprimer le cache d'adresses des listes de blocage (CRL URL Cache)

Toutes les applications qui utilisent le Microsoft Cryptographic Application Programming Interface Version 2 (Crypto API Version 2, CAPI2) ont un mécanisme de mise en cache des informations de révocation des certificats (Listes de blocage des certificats et OCSP-réponses).

Il n'est donc pas possible de garantir, par exemple, qu'une liste de blocage nouvellement publiée sera utilisée par les participants avant que la liste de blocage précédente, qui se trouve encore dans la mémoire cache, n'ait expiré.

Nous décrivons ci-dessous comment consulter et influencer le cache de la liste de blocage.

Continuer la lecture de « Den Adress-Zwischenspeicher für Sperrlisten (CRL URL Cache) einsehen und löschen »

Quelle est l'influence des informations de révocation erronées d'un certificat d'autorité de certification sur l'autorité de certification ?

Les conséquences sur le fonctionnement de l'autorité de certification de l'impossibilité de récupérer les informations de verrouillage pour l'un des certificats d'autorité de certification de l'autorité de certification sont décrites ci-dessous.

Ce cas peut également se produire de manière planifiée, par exemple lorsqu'une hiérarchie d'autorités de certification précédente doit être mise hors service.

Continuer la lecture de « Welchen Einfluss haben fehlerhafte Sperrinformationen eines Zertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle? »

Le service d'autorité de certification ne démarre pas et affiche le message d'erreur "The certificate is revoked. 0x80092010 (-2146885616 CRYPT_E_REVOKED)".

Supposons le scénario suivant :

  • Une autorité de certification est mise en œuvre sur le réseau.
  • Le service d'autorité de certification ne démarre pas
  • Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :
The certificate is revoked. 0x80092010 (-2146885616 CRYPT_E_REVOKED)
Continuer la lecture de « Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „The certificate is revoked. 0x80092010 (-2146885616 CRYPT_E_REVOKED)“ »

Le service d'autorité de certification ne démarre pas et affiche le message d'erreur "The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)".

Supposons le scénario suivant :

  • Une autorité de certification est mise en œuvre sur le réseau.
  • Le service d'autorité de certification ne démarre pas
  • Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :
The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)
Continuer la lecture de « Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)“ »

Principes de base des infrastructures à clés publiques (PKI)

Une infrastructure à clé publique comprend tous les composants (matériel, logiciel, personnes et processus) nécessaires à l'utilisation de certificats numériques. Une PKI se compose d'une ou de plusieurs autorités de certification (CA). Les tâches d'une PKI sont notamment les suivantes

  • garantir l'authenticité des clés, c'est-à-dire établir un lien compréhensible entre une clé et son origine afin d'empêcher tout abus
  • la révocation des certificats, c'est-à-dire s'assurer que les clés mises hors service ou compromises (par exemple volées) ne peuvent plus être utilisées
  • Garantie de l'obligation (non-répudiation), c'est-à-dire, par exemple, que le propriétaire d'une clé ne peut pas nier qu'elle lui appartient.
  • Imposer des directives (en anglais policies), c'est-à-dire des procédures standardisées pour l'utilisation des certificats.
Continuer la lecture de « Grundlagen Public Key Infrastrukturen (PKI) »

Lors de l'installation d'un nouveau certificat d'autorité de certification, on reçoit le message d'erreur "The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)".

Supposons le scénario suivant :

  • On installe un nouveau certificat d'autorité de certification sur l'autorité de certification, soit parce que l'autorité de certification a été réinstallée, soit parce que le certificat d'autorité de certification a été renouvelé.
  • Le certificat d'autorité de certification a été délivré par une autorité de certification supérieure.
  • Lors de l'installation, on obtient le message d'erreur suivant :
Cannot verify certificate chain. Do you wish to ignore the error and continue? The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)
Continuer la lecture de « Bei der Installation eines neuen Zertifizierungsstellenzertifikats erhält man die Fehlermeldung „The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)“ »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais