Étiquette : Fournisseur de services cryptographiques (CSP)

Liste des cas d'utilisation des certificats pour lesquels la compatibilité avec les clés basées sur des courbes elliptiques (ECC) est connue

Avec l'augmentation de la puissance de calcul disponible, le besoin d'utiliser des clés cryptographiques plus puissantes augmente également. Il est souvent nécessaire (par exemple parce que les clés doivent être protégées par le module Trusted Platform) de recourir dans ce cadre à des les clés basées sur des courbes elliptiques (ECC) de l'entreprise. Pour leur utilisation, il est essentiel de garantir la compatibilité avec les cas d'utilisation prévus.

Ci-dessous, une liste de cas d'utilisation pour lesquels je connais la compatibilité.

Continuer la lecture de « Liste der Use Cases der Zertifikate, für welche die Kompatibilität zu auf elliptischen Kurven (ECC) basierenden Schlüsseln bekannt ist »

Principes de base : fournisseur de services cryptographiques (CSP) et fournisseur de stockage de clés (KSP)

Seit Windows NT 4.0 gibt es im Rahmen der CryptoAPI die Cryptographic Service Provider (CSP).

Sinn ist, dass sich eine Anwendung nicht um die konkrete Implementierung der Schlüsselverwaltung kümmern muss, sondern dies generischen Betriebssystem-Schnittstellen überlassen kann. Ebenso soll hiermit vermieden werden, dass kryptographische Schlüssel im Sicherheitskontext des Benutzers/der verwendeten Anwendung in den Arbeitsspeicher geladen werden (ein fataler Sicherheitsvorfall, der genau auf diesem Problem basierte war der Heartbleed Vorfall).

Beispielsweise spielt es für die Zertifizierungsstellen-Software technisch keine Rolle, wie ihr privater Schlüssel geschützt ist – ob in Software oder beispielsweise mit einem Hardware Security Modul (HSM). Der Aufruf des privaten Schlüssel ist für die Zertifizierungsstelle immer identisch.

Mit Windows Vista und der Einführung der Cryptography Next Generation (CNG) als Ablösung für die CryptoAPI wurden die Key Storage Provider (KSP) eingeführt.

Continuer la lecture de « Grundlagen: Cryptographic Service Provider (CSP) und Key Storage Provider (KSP) »

Dépannage de la demande automatique de certificat (auto-enrollment) via RPC/DCOM (MS-WCCE)

Supposons le scénario suivant :

  • Es ist eine Zertifikatvorlage für die automatische Beantragung von Zertifikaten konfiguriert (Autoenrollment).
  • Die Zertifikatvorlage ist auf einer ins Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) veröffentlicht.
  • Die für die automatische Zertifikatbeantragung konfigurierten Benutzer oder Computer beantragen allerdings nicht wie vorgesehen Zertifikate.

Nachfolgend eine Anleitung zur Fehlersuche.

Continuer la lecture de « Fehlersuche für die automatische Zertifikatbeantragung (Autoenrollment) via RPC/DCOM (MS-WCCE) »

Details zum Ereignis mit ID 58 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll

Source de l'événement :Microsoft-Windows-CertificateServicesClient-CertEnroll
ID de l'événement :58 (0x825A003A)
Journal des événements :Application
Type d'événement :Avertissement
Texte de l'événement (en anglais) :The „%3“ algorithm for the „%2“ provider was not loaded because initialization failed.
Texte de l'événement (en allemand) :Der „%3“-Algorithmus für den „%2“-Anbieter wurde aufgrund eines Initialisierungsfehlers nicht geladen.
Continuer la lecture de « Details zum Ereignis mit ID 58 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll »

Liste des cas d'utilisation des certificats nécessitant des fournisseurs de services cryptographiques (CSP) ou des fournisseurs de stockage de clés (KSP) spécifiques

Avec Windows Server 2008, les algorithmes NSA Suite B (également connus sous le nom de Cryptography Next Generation, CNG) ont introduit, avec les fournisseurs de stockage de clés, une nouvelle interface moderne pour la création, le stockage et l'utilisation de clés privées dans l'écosystème Windows.

Dans la plupart des cas, le CSP ou le KSP utilisé pour les certificats n'a pas d'importance. Toutefois, certaines applications ne fonctionneront pas ou pas correctement si le fournisseur choisi n'est pas le bon.

Voici une liste des cas d'utilisation que je connais pour les certificats qui ne fonctionnent qu'avec un fournisseur de services cryptographiques (CSP) ou un fournisseur de stockage de clés (KSP) spécifique.

Continuer la lecture de « Liste der Use Cases für Zertifikate, die bestimmte Cryptographic Service Provider (CSP) oder Key Storage Provider (KSP) benötigen »

La demande de certificat n'est pas possible, car le modèle de certificat ne s'affiche pas. Le message d'erreur est „Can not find a valid CSP in the local machine“.“

Supposons le scénario suivant :

  • Un certificat est demandé pour un utilisateur ou un ordinateur auprès d'une autorité de certification via la console de gestion des certificats (certlm.msc ou certmgr.msc).
  • Autoenrollment ne demande pas de certificat du modèle de certificat souhaité, bien qu'il soit activé et que les autorisations soient définies en conséquence.
  • Le modèle de certificat souhaité ne s'affiche pas lors d'une demande manuelle via la console de gestion Microsoft (MMC). Si l'on active la case à cocher „Show all templates“, le message d'erreur suivant s'affiche pour le modèle de certificat souhaité :
Cannot find object or property.
Can not find a valid CSP in the local machine.
Continuer la lecture de « Die Beantragung eines Zertifikats ist nicht möglich, da die Zertifikatvorlage nicht angezeigt wird. Die Fehlermeldung lautet „Can not find a valid CSP in the local machine.“ »

Welcher Cryptographic Service Provider (CSP) sollte für den Registrierungsdienst für Netzwerkgeräte (NDES) verwendet werden?

Bei der Konfiguration einer Zertifikatvorlage für die Registration Authority (RA) Zertifikate für den Registrierungsdienste für Netzwerkgeräte (Network Device Enrollment Service, NDES), kommt insbesondere bei der Verwendung von Hardware Security Modulen (HSM) die Frage auf, welcher Cryptographic Service Provider (CSP) des HSM-Herstellers verwendet werden sollte.

Continuer la lecture de « Welcher Cryptographic Service Provider (CSP) sollte für den Registrierungsdienst für Netzwerkgeräte (NDES) verwendet werden? »

Le service d'enregistrement des périphériques réseau (NDES) consigne le message d'erreur "The Network Device Enrollment Service cannot retrieve one of its required certificates (0x80070057). The parameter is incorrect".

Supposons le scénario suivant :

  • Un serveur NDES est configuré sur le réseau.
  • L'erreur HTTP 500 (Internal Server Error) est signalée lors de l'appel de la page web de demande NDES (mscep) et de la page web d'administration NDES (certsrv/mscep_admin).
  • Les événements n 2 et 10 enregistré dans le journal des événements de l'application :
The Network Device Enrollment Service cannot be started (0x80070057). The parameter is incorrect.
The Network Device Enrollment Service cannot retrieve one of its required certificates (0x80070057). The parameter is incorrect.
Continuer la lecture de « Der Registrierungsdienst für Netzwerkgeräte (NDES) protokolliert die Fehlermeldung „The Network Device Enrollment Service cannot retrieve one of its required certificates (0x80070057). The parameter is incorrect.“ »

Importer un certificat dans une carte à puce

Il est parfois nécessaire d'importer dans une carte à puce un certificat qui utilise une clé logicielle.

Continuer la lecture de « Importieren eines Zertifikats in eine Smartcard »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais