Étiquette : Délégation (Kerberos)

Principes de base : procédures d'authentification pour les services d'information Internet (IIS)

Les services de certificats Active Directory offrent une série d'interfaces supplémentaires basées sur le web (Service d'enregistrement des périphériques réseau (NDES), Service de politique d'enregistrement des certificats (CEP), Service web d'enregistrement des certificats (CES), Enregistrement web des autorités de certification (CAWE).

Les Microsoft Internet Information Services (IIS) sont donc pratiquement indispensables pour une ICP Microsoft. Chacune des interfaces basées sur le web (ainsi que les développements propres) présente ses propres défis en termes de procédures d'authentification et d'implémentation.

L'article suivant a pour but d'apporter un peu de clarté sur le sujet.

Continuer la lecture de « Grundlagen: Authentisierungsverfahren für die Internet Information Services (IIS) »

Modifications apportées à l'émission de certificats et à l'ouverture de session basée sur des certificats dans Active Directory par le correctif pour Windows Server du 10 mai 2022 (KB5014754)

Avec le correctif du 10 mai 2022, Microsoft tente de combler une faille de sécurité dans le Active Directory dans laquelle l'inscription basée sur un certificat (généralement connue sous le nom de PKINIT ou encore de Connexion par carte à puce).

La mise à jour modifie à la fois le comportement Autorité de certification que le comportement d'Active Directory lors du traitement des inscriptions basées sur des certificats.

Continuer la lecture de « Änderungen an der Zertifikatausstellung und an der zertifikatbasierten Anmeldung am Active Directory mit dem Patch für Windows Server vom 10. Mai 2022 (KB5014754) »

Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit dem Fehlercode „WS_E_ENDPOINT_FAULT_RECEIVED“

Supposons le scénario suivant :

  • Un Certificate Enrollment Web Service (CES) est mis en œuvre sur le réseau.
  • Une demande de certificat est envoyée au CES.
  • La demande de certificat échoue avec le message d'erreur suivant :
A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)
Continuer la lecture de « Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit dem Fehlercode „WS_E_ENDPOINT_FAULT_RECEIVED“ »

Principes fondamentaux et analyse des risques Paramètres de délégation

La délégation est toujours nécessaire lorsqu'il existe un intermédiaire entre l'utilisateur et le service proprement dit. Dans le cas de l'enregistrement Web de l'autorité de certification, ce serait le cas si celui-ci était installé sur un serveur distinct. Il servirait alors d'intermédiaire entre le demandeur et l'autorité de certification.

Continuer la lecture de « Grundlagen und Risikobetrachtung Delegierungseinstellungen »

La demande d'un certificat via l'enregistrement web de l'autorité de certification (CAWE) échoue avec le code d'erreur HTTP 401 "Unauthorized : Access is denied due to invalid credentials".

Supposons le scénario suivant :

  • Un serveur pour l'enregistrement web des autorités de certification (Certificate Authority Web Enrollment, CAWE) est installé sur le réseau.
  • Le rôle est installé sur un serveur séparé, pas directement sur l'autorité de certification.
  • Un utilisateur tente de demander un certificat via l'enregistrement web de l'autorité de certification ou de soumettre une demande de certificat existante à l'autorité de certification.
  • La connexion de l'utilisateur à CAWE échoue avec le code HTTP 401 "Unauthorized : Access is denied due to invalid credentials" :
You do not have permission to view this directory or page using the credentials that you supplied.
Continuer la lecture de « Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit HTTP Fehlercode 401 „Unauthorized: Access is denied due to invalid credentials.“ »

Effectuer un test de fonctionnement pour l'enregistrement web de l'autorité de certification (CAWE)

Après l'installation et la configuration du Certificate Authority Web Enrollment (CAWE), il est essentiel que le composant soit testé de manière approfondie avant d'être mis à la disposition des utilisateurs. Vous trouverez ci-dessous des instructions pour un test fonctionnel détaillé.

Continuer la lecture de « Funktionstest durchführen für die Zertifizierungsstellen-Webregistrierung (CAWE) »

Configurer l'enregistrement web de l'autorité de certification (CAWE) pour l'utiliser avec un compte de domaine

Vous trouverez ci-dessous une description de la manière de configurer l'inscription Web de l'autorité de certification (CAWE) afin que le service fonctionne sous un compte de domaine.

Continuer la lecture de « Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Domänenkonto konfigurieren »

La demande d'un certificat via l'enregistrement web de l'autorité de certification (CAWE) échoue avec le code d'erreur "ERROR_ACCESS_DENIED".

Supposons le scénario suivant :

  • Un serveur pour l'enregistrement web des autorités de certification (Certificate Authority Web Enrollment, CAWE) est installé sur le réseau.
  • Le rôle est installé sur un serveur séparé, pas directement sur l'autorité de certification.
  • Un utilisateur tente de demander un certificat via l'enregistrement web de l'autorité de certification ou de soumettre une demande de certificat existante à l'autorité de certification.
  • La demande échoue avec le message d'erreur suivant :
Your request failed. An error occurred while the server was processing your request. Contact your administrator for further assistance.

Dans les détails du message d'erreur, on trouve la remarque suivante :

CCertRequest::Submit: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
Continuer la lecture de « Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit Fehlercode „ERROR_ACCESS_DENIED“ »

Autorisations de sécurité Windows nécessaires pour l'enregistrement web de l'autorité de certification (CAWE)

Supposons que vous implémentiez le modèle de niveau administratif de Microsoft Active Directory ou que vous appliquiez des mesures de durcissement similaires sur vos serveurs, cela aura un impact sur l'inscription Web de l'autorité de certification (CAWE).

Continuer la lecture de « Benötigte Windows-Sicherheitsberechtigungen für die Zertifizierungsstellen-Webregistrierung (CAWE) »

La demande d'un certificat via l'enregistrement web de l'autorité de certification (CAWE) échoue avec le code d'erreur "RPC_S_SERVER_UNAVAILABLE".

Supposons le scénario suivant :

  • Un serveur pour l'enregistrement web des autorités de certification (Certificate Authority Web Enrollment, CAWE) est installé sur le réseau.
  • Le rôle est installé sur un serveur séparé, pas directement sur l'autorité de certification.
  • Un utilisateur tente de demander un certificat via l'enregistrement web de l'autorité de certification ou de soumettre une demande de certificat existante à l'autorité de certification.
  • La demande échoue avec le message d'erreur suivant :
Your request failed. An error occurred while the server was processing your request. Contact your administrator for further assistance.

Dans les détails du message d'erreur, on trouve la remarque suivante :

CCertRequest::Submit: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
Continuer la lecture de « Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit Fehlercode „RPC_S_SERVER_UNAVAILABLE“ »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais