| Source de l'événement : | Microsoft-Windows-CertificationAuthority |
| ID de l'événement : | 65 (0x41) |
| Journal des événements : | Application |
| Type d'événement : | Erreur |
| Nom symbolique : | MSG_E_BASE_CRL_PUBLICATION |
| Texte de l'événement (en anglais) : | Active Directory Certificate Services could not publish a Base CRL for key %1 to the following location: %2. %3.%5%6 |
| Texte de l'événement (en allemand) : | Es konnte keine Basis-Zertifikatsperrliste für den Schlüssel %1 an folgendem Ort veröffentlicht werden: %2. %3.%5%6 |
Étiquette : Liste de révocation des certificats (CRL)
Details zum Ereignis mit ID 66 der Quelle Microsoft-Windows-CertificationAuthority
| Source de l'événement : | Microsoft-Windows-CertificationAuthority |
| ID de l'événement : | 66 (0x42) |
| Journal des événements : | Application |
| Type d'événement : | Erreur |
| Nom symbolique : | MSG_E_DELTA_CRL_PUBLICATION |
| Texte de l'événement (en anglais) : | Active Directory Certificate Services could not publish a Delta CRL for key %1 to the following location: %2. %3.%5%6 |
| Texte de l'événement (en allemand) : | Es konnte keine Delta-Zertifikatsperrliste für den Schlüssel %1 an folgendem Ort veröffentlicht werden: %2. %3.%5%6 |
Principes de base : vérification du statut de révocation des certificats
Soll ein gültiges, noch nicht abgelaufenes Zertifikat aus dem Verkehr gezogen werden, muss es widerrufen werden. Hierfür pflegen die Zertifizierungsstellen entsprechende Sperrlisten, in welchen die digitalen Fingerabdrücke der widerrufenen Zertifikate aufgelistet sind. Sie müssen bei der Gültigkeitsprüfung abgefragt werden.
Continuer la lecture de « Grundlagen: Überprüfung des Sperrstatus von Zertifikaten »Réaliser un test de fonctionnement pour un organisme de certification
Nach der Installation einer Zertifizierungsstelle, nach der Migration auf einen neuen Server, oder nach umfangreicheren Wartungsarbeiten sollte ein ausgiebiger Funktionstest erfolgen, um sicherzustellen, dass alle Komponenten der Zertifizierungsstelle wie gewünscht arbeiten.
Continuer la lecture de « Funktionstest durchführen für eine Zertifizierungsstelle »Veröffentlichen einer Zertifikatsperrliste (CRL) auf einem Active Directory Sperrlistenverteilungspunkt (CDP)
Il est parfois nécessaire qu'un certificat délivré par une autorité de certification soit retiré avant sa date d'expiration. Pour ce faire, une autorité de certification tient à jour une liste de révocation. Il s'agit d'un fichier signé avec une date d'expiration relativement courte, qui est utilisé en combinaison avec le certificat pour vérifier sa validité.
In manchen Fällen (beispielsweise bei einer Offline-Zertifizierungsstelle, oder wenn vom Standard abweichende LDAP-Sperrlistenverteilungspunkte konfiguriert wurden) muss die Zertifikatsperrliste manuell ins Active Directory veröffentlicht werden.
Continuer la lecture de « Veröffentlichen einer Zertifikatsperrliste (CRL) auf einem Active Directory Sperrlistenverteilungspunkt (CDP) »Création et publication d'une liste de révocation de certificats
Il est parfois nécessaire qu'un certificat délivré par une autorité de certification soit retiré avant sa date d'expiration. Pour ce faire, une autorité de certification tient à jour une liste de révocation. Il s'agit d'un fichier signé avec une date d'expiration relativement courte, qui est utilisé en combinaison avec le certificat pour vérifier sa validité.
Nachdem ein Zertifikat widerrufen wurde, muss eine neue Sperrliste erstellt und veröffentlicht werden, damit Entitäten, die den Sperrstatus überprüfen, über die Sperrung informiert werden. Da die Sperrliste ein verhältnismäßig kurzes Ablaufdatum hat, muss sie auch ohne inhaltliche Änderung in regelmäßigen Abständen neu ausgestellt werden.
Continuer la lecture de « Erstellen und Veröffentlichen einer Zertifikatsperrliste »Révocation d'un certificat délivré
Il est parfois nécessaire qu'un certificat délivré par une autorité de certification soit retiré avant sa date d'expiration. Pour ce faire, une autorité de certification tient à jour une liste de révocation. Il s'agit d'un fichier signé avec une date d'expiration relativement courte, qui est utilisé en combinaison avec le certificat pour vérifier sa validité.
Beim Widerrufen eines Zertifikats wird dessen Seriennummer auf die Sperrliste gesetzt. Entitäten, die die Sperrung eines Zertifikats überprüfen, betrachten es dann als nicht mehr gültig.
Continuer la lecture de « Widerrufen eines ausgestellten Zertifikats »Wenn ein Zertifizierungsstellen-Zertifikat widerrufen wurde, wird keine Sperrliste mehr für das Zertifizierungsstellen-Zertifikat ausgestellt
Supposons le scénario suivant :
- Eine Zertifizierungsstelle verfügt über mehrere Zertifizierungsstellen-Zertifikate.
- Mehr als ein Zertifizierungsstellen-Zertifikat verwendet den gleichen privaten Schlüssel, da z.B. das Zertifizierungsstellen-Zertifikat mit dem gleichen Schlüsselpaar erneuert wurde.
- Wird eines dieser Zertifizierungsstellen-Zertifikate widerrufen, werden auch für die anderen Zertifizierungsstellen-Zertifikate, welche den gleichen Schlüssel verwenden, keine Sperrlisten mehr von der Zertifizierungsstelle ausgestellt.
Welchen Einfluss hat der Ablauf der Sperrliste einer der übergeordneten Zertifizierungsstellen auf die Zertifizierungsstelle?
Leider kommt es in der Praxis hin und wieder vor, dass die Sperrliste einer übergeordneten Zertifizierungsstelle abläuft und eine Erneuerung ausbleibt. Auch kann dies planmäßig, etwa bei Außerbetriebnahme einer alten Hierarchie geschehen.
Continuer la lecture de « Welchen Einfluss hat der Ablauf der Sperrliste einer der übergeordneten Zertifizierungsstellen auf die Zertifizierungsstelle? »Consulter et supprimer le cache d'adresses des listes de blocage (CRL URL Cache)
Toutes les applications qui utilisent le Microsoft Cryptographic Application Programming Interface Version 2 (Crypto API Version 2, CAPI2) ont un mécanisme de mise en cache des informations de révocation des certificats (Listes de blocage des certificats et OCSP-réponses).
Il n'est donc pas possible de garantir, par exemple, qu'une liste de blocage nouvellement publiée sera utilisée par les participants avant que la liste de blocage précédente, qui se trouve encore dans la mémoire cache, n'ait expiré.
Nous décrivons ci-dessous comment consulter et influencer le cache de la liste de blocage.
Continuer la lecture de « Den Adress-Zwischenspeicher für Sperrlisten (CRL URL Cache) einsehen und löschen »Quelle est l'influence des informations de révocation erronées d'un certificat d'autorité de certification sur l'autorité de certification ?
Les conséquences sur le fonctionnement de l'autorité de certification de l'impossibilité de récupérer les informations de verrouillage pour l'un des certificats d'autorité de certification de l'autorité de certification sont décrites ci-dessous.
Ce cas peut également se produire de manière planifiée, par exemple lorsqu'une hiérarchie d'autorités de certification précédente doit être mise hors service.
Continuer la lecture de « Welchen Einfluss haben fehlerhafte Sperrinformationen eines Zertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle? »Le service d'autorité de certification ne démarre pas et affiche le message d'erreur "The certificate is revoked. 0x80092010 (-2146885616 CRYPT_E_REVOKED)".
Supposons le scénario suivant :
- Une autorité de certification est mise en œuvre sur le réseau.
- Le service d'autorité de certification ne démarre pas
- Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :
The certificate is revoked. 0x80092010 (-2146885616 CRYPT_E_REVOKED)Continuer la lecture de « Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „The certificate is revoked. 0x80092010 (-2146885616 CRYPT_E_REVOKED)“ »
Le service d'autorité de certification ne démarre pas et affiche le message d'erreur "The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)".
Supposons le scénario suivant :
- Une autorité de certification est mise en œuvre sur le réseau.
- Le service d'autorité de certification ne démarre pas
- Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :
The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)Continuer la lecture de « Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)“ »
Principes de base des infrastructures à clés publiques (PKI)
Une infrastructure à clé publique comprend tous les composants (matériel, logiciel, personnes et processus) nécessaires à l'utilisation de certificats numériques. Une PKI se compose d'une ou de plusieurs autorités de certification (CA). Les tâches d'une PKI sont notamment les suivantes
- garantir l'authenticité des clés, c'est-à-dire établir un lien compréhensible entre une clé et son origine afin d'empêcher tout abus
- la révocation des certificats, c'est-à-dire s'assurer que les clés mises hors service ou compromises (par exemple volées) ne peuvent plus être utilisées
- Garantie de l'obligation (non-répudiation), c'est-à-dire, par exemple, que le propriétaire d'une clé ne peut pas nier qu'elle lui appartient.
- Imposer des directives (en anglais policies), c'est-à-dire des procédures standardisées pour l'utilisation des certificats.
Lors de l'installation d'un nouveau certificat d'autorité de certification, on reçoit le message d'erreur "The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)".
Supposons le scénario suivant :
- On installe un nouveau certificat d'autorité de certification sur l'autorité de certification, soit parce que l'autorité de certification a été réinstallée, soit parce que le certificat d'autorité de certification a été renouvelé.
- Le certificat d'autorité de certification a été délivré par une autorité de certification supérieure.
- Lors de l'installation, on obtient le message d'erreur suivant :
Cannot verify certificate chain. Do you wish to ignore the error and continue? The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)Continuer la lecture de « Bei der Installation eines neuen Zertifizierungsstellenzertifikats erhält man die Fehlermeldung „The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)“ »
Français 
Deutsch 
English