Système de noms de domaine (DNS)

Un module de politique pour les apprivoiser : Présentation du module de politique TameMyCerts pour Microsoft Active Directory Certificate Services

En tant qu'exploitant d'un organisme de certification il est responsable (entre autres) de l'identification des demandeurs et de la confirmation des identités demandées. Le fait que cette tâche soit effectuée consciencieusement et sans erreur est le pilier central de la confiance accordée à l'organisme de certification. Des entreprises renommées sont a déjà échoué dans cette tâche, ont même dû déposer le bilan à la suite de fausses expositions et/ou ont été remplacés par les grands acteurs du marché sensible punit.

Dans de nombreux cas, en tant qu'opérateurs PKI (Microsoft) dans les entreprises (indépendamment de la qualité qui en découle), nous sommes en mesure de déléguer notre tâche d'identification unique d'un demandeur à l'Active Directory. Mais dans de nombreux cas, nous devons malheureusement aussi demander à notre/nos autorité(s) de certification de délivrer simplement tout ce qui est demandé.

Continuer la lecture

Configurer le Network Device Enrollment Service (NDES) pour l'utiliser avec un alias

Les étapes suivantes décrivent comment configurer le service d'inscription des périphériques réseau (NDES) pour une utilisation avec un alias.

Le terme « alias » signifie que le service n'est pas appelé avec le nom du serveur sur lequel il est installé, mais avec un nom générique indépendant de celui-ci. L'utilisation d'un alias permet de transférer le service vers un autre système à une date ultérieure sans avoir à communiquer la nouvelle adresse à tous les participants.

Continuer la lecture

Effectuer un test de fonctionnement pour l'enregistrement web de l'autorité de certification (CAWE)

Après l'installation et la configuration du Certificate Authority Web Enrollment (CAWE), il est essentiel que le composant soit testé de manière approfondie avant d'être mis à la disposition des utilisateurs. Vous trouverez ci-dessous des instructions pour un test fonctionnel détaillé.

Continuer la lecture

La demande d'un certificat via le Certificate Enrollment Web Service (CES) échoue avec le code d'erreur "ERROR_WINHTTP_NAME_NOT_RESOLVED".

Supposons le scénario suivant :

On essaie de demander un certificat via un Certificate Enrollment Web Service (CEP) d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
L'opération échoue avec le message d'erreur suivant :

Certificate Request Processor: The server name or address could not be resolved 0x80072ee7 (WinHttp: 12007 ERROR_WINHTTP_NAME_NOT_RESOLVED)

Continuer la lecture

La demande d'un certificat via le Certificate Enrollment Policy Web Service (CEP) échoue avec le message d'erreur "Error : Access was denied by the remote endpoint. 0x803d0005 -2143485947 WS_E_ENDPOINT_ACCESS_DENIED".

Supposons le scénario suivant :

Un utilisateur demande un certificat.
Une Enrollment Policy est configurée à cet effet, qui renvoie à un Certificate Enrollment Policy Web Service (CEP).
La connexion au CEP échoue et l'utilisateur reçoit le message d'erreur suivant :

Error: Access was denied by the remote endpoint. 0x803d0005 -2143485947 WS_E_ENDPOINT_ACCESS_DENIED

Continuer la lecture

Lors de l'appel de la page web d'administration du Network Device Enrollment Service (NDES) (certsrv/mscep_admin), on est toujours invité à se connecter.

Supposons le scénario suivant :

Un serveur NDES est configuré sur le réseau.
Le serveur NDES est appelé sous un alias DNS.
Malgré la saisie correcte des données de connexion, on est toujours invité à se connecter à nouveau lors de l'appel de la page web d'administration NDES (certsrv/mscep_admin).

Continuer la lecture