Étiquette : Services d'information Internet (IIS)

Principes de base : procédures d'authentification pour les services d'information Internet (IIS)

Les services de certificats Active Directory offrent une série d'interfaces supplémentaires basées sur le web (Service d'enregistrement des périphériques réseau (NDES), Service de politique d'enregistrement des certificats (CEP), Service web d'enregistrement des certificats (CES), Enregistrement web des autorités de certification (CAWE).

Les Microsoft Internet Information Services (IIS) sont donc pratiquement indispensables pour une ICP Microsoft. Chacune des interfaces basées sur le web (ainsi que les développements propres) présente ses propres défis en termes de procédures d'authentification et d'implémentation.

L'article suivant a pour but d'apporter un peu de clarté sur le sujet.

Continuer la lecture de « Grundlagen: Authentisierungsverfahren für die Internet Information Services (IIS) »

Activer l'authentification de base pour le service d'enregistrement des périphériques réseau (NDES)

Si le service d'enregistrement des périphériques réseau (NDES) est réinstallé (De préférence sans droits d'administrateur d'entreprise), seule l'authentification intégrée à Windows est activée dans un premier temps pour la page web d'administration. Avec ce protocole, une authentification par nom d'utilisateur et mot de passe est également possible (via NT LAN Manager, NTLM). Toutes les applications clientes ne supportent toutefois pas cette fonctionnalité.

De même, une entreprise pourrait vouloir désactiver NTLM lorsque c'est possible et forcer Kerberos pour la connexion. Le fait de rendre Kerberos obligatoire supprime la possibilité de se connecter à la page d'administration du service d'enregistrement des périphériques réseau à l'aide d'un nom d'utilisateur et d'un mot de passe (puisque cela se fait avec des données d'identification NTLM). Il est toutefois possible de mettre à jour l'authentification de base afin d'offrir à nouveau cette possibilité.

Une solution à ce dilemme peut être l'authentification de base, dont la mise en place est expliquée ci-après.

Continuer la lecture de « Aktivieren der Basic Authentication für den Registrierungsdienst für Netzwerkgeräte (NDES) »

Désactiver NTLM et forcer Kerberos sur la page web d'administration du service d'enregistrement des périphériques réseau (NDES)

De nombreuses entreprises ont pour stratégie de désactiver (autant que possible) le protocole d'authentification NT LAN Manager (NTLM) dans leurs réseaux.

Cela est également possible pour la page web d'administration du service d'enregistrement des périphériques réseau (NDES). La mise en œuvre exacte et les modifications éventuelles du comportement des applications sont expliquées ci-dessous.

Continuer la lecture de « Deaktivieren von NTLM und erzwingen von Kerberos an der Administrations-Webseite des Registrierungsdienstes für Netzwerkgeräte (NDES) »

Modifications apportées à l'émission de certificats et à l'ouverture de session basée sur des certificats dans Active Directory par le correctif pour Windows Server du 10 mai 2022 (KB5014754)

Avec le correctif du 10 mai 2022, Microsoft tente de combler une faille de sécurité dans le Active Directory dans laquelle l'inscription basée sur un certificat (généralement connue sous le nom de PKINIT ou encore de Connexion par carte à puce).

La mise à jour modifie à la fois le comportement Autorité de certification que le comportement d'Active Directory lors du traitement des inscriptions basées sur des certificats.

Continuer la lecture de « Änderungen an der Zertifikatausstellung und an der zertifikatbasierten Anmeldung am Active Directory mit dem Patch für Windows Server vom 10. Mai 2022 (KB5014754) »

Sélection de l'identité pour le pool d'applications IIS du service d'enregistrement des périphériques réseau (NDES)

Lors de l'installation d'un service d'enregistrement de périphériques réseau (NDES), la question se pose de savoir sous quelle identité le pool d'applications IIS doit être exploité. Les différentes options sont présentées ci-dessous afin de faciliter le choix.

Continuer la lecture de « Auswahl der Identität für den IIS Anwendungspool des Registrierungsdienstes für Netzwerkgeräte (NDES) »

Inspecter le trafic TLS avec Wireshark (décrypter HTTPS)

Lors du dépannage, il peut être très utile de voir les connexions SSL cryptées afin de pouvoir inspecter les messages qu'elles contiennent. Il existe un moyen relativement simple de le faire avec Wireshark.

Continuer la lecture de « TLS-Datenverkehr mit Wireshark inspizieren (HTTPS entschlüsseln) »

Code d'erreur HTTP 403 lors de la connexion à Internet Information Services (IIS) à l'aide d'un certificat client après le renouvellement du certificat du serveur web

Supposons le scénario suivant :

  • Un utilisateur ou une application consulte une page web ou une application web exécutée sur un serveur web Internet Information Services (IIS).
  • Le serveur web est configuré de telle sorte qu'un certificat client est demandé pour la ressource appelée.
  • Bien qu'il existe un certificat client valide sur le client, le code d'erreur 403 Forbidden est immédiatement renvoyé. L'utilisateur n'est pas invité à choisir un certificat (lors de l'ouverture de la page avec un navigateur).
  • Le certificat du serveur web a été récemment renouvelé et la liaison SSL IIS a été configurée en conséquence via le gestionnaire IIS.
403 - Forbidden: Access is denied.
You do not have permission to view this directory or page using the credentials that you supplied.
Continuer la lecture de « HTTP Fehlercode 403 bei Anmeldung mittels Client-Zertifikat an Internet Information Services (IIS) nach Erneuerung des Webserver-Zertifikats »

Effectuer un test de fonctionnement pour l'enregistrement web de l'autorité de certification (CAWE)

Après l'installation et la configuration du Certificate Authority Web Enrollment (CAWE), il est essentiel que le composant soit testé de manière approfondie avant d'être mis à la disposition des utilisateurs. Vous trouverez ci-dessous des instructions pour un test fonctionnel détaillé.

Continuer la lecture de « Funktionstest durchführen für die Zertifizierungsstellen-Webregistrierung (CAWE) »

La demande d'un certificat via le Certificate Enrollment Web Service (CES) échoue avec le code d'erreur "ERROR_INTERNET_TIMEOUT".

Supposons le scénario suivant :

  • On essaie de demander un certificat via un Certificate Enrollment Web Service (CEP) d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • L'opération échoue avec le message d'erreur suivant :
The operation timed out 0x80072ee2 (INet: 12002 ERROR_INTERNET_TIMEOUT)
Continuer la lecture de « Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlercode „ERROR_INTERNET_TIMEOUT“ »

Transfert des listes de révocation de certificats vers les points de distribution de la liste de révocation à l'aide de SSH Secure Copy (SCP) avec authentification par clé publique (Windows Server 2019)

Si les serveurs qui fournissent les points de distribution des listes de blocage se trouvent par exemple dans une zone démilitarisée (DMZ) ou si, pour d'autres raisons, le transfert de données via Server Message Block (SMB) n'est pas possible, les listes de blocage peuvent être transférées sur les points de distribution à l'aide de SSH Secure Copy (SCP). Depuis Windows Server 2019, il existe les paquets serveur et client OpenSSH. L'installation avec authentification par clé publique (Public Key Authentication) au lieu de mots de passe est décrite ci-dessous à titre d'exemple

Continuer la lecture de « Übertragen der Zertifikatsperrlisten auf die Sperrlistenverteilpunkte mit SSH Secure Copy (SCP) mit Authentifizierung über öffentliche Schlüssel (Windows Server 2019) »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais