Pour utiliser le Online Certificate Status Protocol (OCSP), il est nécessaire de configurer un modèle de certificat correspondant.
Continuer la lecture de « Konfigurieren einer Zertifikatvorlage für Onlineresponder (OCSP) Antwortsignatur-Zertifikate »Étiquette : Fournisseur de stockage clé (KSP)
Liste des cas d'utilisation des certificats pour lesquels la compatibilité avec les clés basées sur des courbes elliptiques (ECC) est connue
Avec l'augmentation de la puissance de calcul disponible, le besoin d'utiliser des clés cryptographiques plus puissantes augmente également. Il est souvent nécessaire (par exemple parce que les clés doivent être protégées par le module Trusted Platform) de recourir dans ce cadre à des les clés basées sur des courbes elliptiques (ECC) de l'entreprise. Pour leur utilisation, il est essentiel de garantir la compatibilité avec les cas d'utilisation prévus.
Ci-dessous, une liste de cas d'utilisation pour lesquels je connais la compatibilité.
Continuer la lecture de « Liste der Use Cases der Zertifikate, für welche die Kompatibilität zu auf elliptischen Kurven (ECC) basierenden Schlüsseln bekannt ist »La partition du Hardware Security Module (HSM) est pleine
Supposons le scénario suivant :
- Une autorité de certification utilise un Module de sécurité matériel (HSM).
- La partition du Hardware Security Module se remplit de plus en plus de clés au cours de la durée de vie de l'autorité de certification.
- Sur SafeNet Hardware Security Modules, cela peut même entraîner l'exécution complète de la partition. En conséquence, les événements 86 et 88 de l'autorité de certification.
La demande de certificats avec des clés basées sur des courbes elliptiques échoue lors de l'utilisation du Microsoft Platform Crypto Provider
Supposons le scénario suivant :
- Un modèle de certificat est configuré, sur courbes elliptiques d'utiliser des clés basées sur la technologie
- Le modèle de certificat est en outre configuré pour utiliser le Microsoft Platform Crypto Provider d'utiliser la clé privée avec le Module de plate-forme de confiance (TPM) de l'appareil.
- La demande de certificat échoue avec le message d'erreur suivant :
Error: The requested operation is not supported. 0x80090029 (-2146893783 NTE_NOT_SUPPORTED)
Sur Windows Server 2016, le message d'erreur "No provider was specified for the store or object. 0x80092006 (-2146885626 CRYPT_E_NO_PROVIDER)" est affiché alors que le comportement est sinon identique.
Continuer la lecture de « Die Beantragung von Zertifikaten mit auf elliptischen Kurven basierenden Schlüsseln schlägt fehl, wenn der Microsoft Platform Crypto Provider verwendet wird »Lors de la restauration d'une autorité de certification, le certificat d'autorité de certification ne peut pas être sélectionné lors de l'installation des rôles.
Supposons le scénario suivant :
- Une autorité de certification est migré vers un autre serveur ou restauré à partir de la sauvegarde.
- Un module matériel de sécurité (HSM) Thales (nCipher) est utilisé pour protéger la clé privée du certificat de l'autorité de certification. Le Security World est configuré avec Operator Card Set (OCS) Protection.
- Le certificat d'organisme de certification a été délivré avec succès restauré et associé à la clé privée stockée sur le HSM.
- Lors de l'installation du rôle d'autorité de certification, le certificat d'autorité de certification restauré ne peut pas être sélectionné.
La reconnexion à la clé privée échoue avec le message d'erreur "Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)"
Supposons le scénario suivant :
- Une autorité de certification est migré vers un autre serveur ou restauré à partir de la sauvegarde.
- Un module de sécurité matériel (HSM) est utilisé pour protéger la clé privée du certificat de l'autorité de certification.
- Le certificat d'autorité de certification doit maintenant être installé sur le système cible. être restauré et associé à la clé privée.
- L'opération échoue avec le message d'erreur suivant :
Cannot find the certificate and private key for decryption. CertUtil: -repairstore command FAILED: 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND) CertUtil: Cannot find object or property.Continuer la lecture de « Die Wiederherstellung der Verbindung zum privaten Schlüssel schlägt fehl mit Fehlermeldung „Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)“ »
Principes de base : fournisseur de services cryptographiques (CSP) et fournisseur de stockage de clés (KSP)
Seit Windows NT 4.0 gibt es im Rahmen der CryptoAPI die Cryptographic Service Provider (CSP).
Sinn ist, dass sich eine Anwendung nicht um die konkrete Implementierung der Schlüsselverwaltung kümmern muss, sondern dies generischen Betriebssystem-Schnittstellen überlassen kann. Ebenso soll hiermit vermieden werden, dass kryptographische Schlüssel im Sicherheitskontext des Benutzers/der verwendeten Anwendung in den Arbeitsspeicher geladen werden (ein fataler Sicherheitsvorfall, der genau auf diesem Problem basierte war der Heartbleed Vorfall).
Beispielsweise spielt es für die Zertifizierungsstellen-Software technisch keine Rolle, wie ihr privater Schlüssel geschützt ist – ob in Software oder beispielsweise mit einem Hardware Security Modul (HSM). Der Aufruf des privaten Schlüssel ist für die Zertifizierungsstelle immer identisch.
Mit Windows Vista und der Einführung der Cryptography Next Generation (CNG) als Ablösung für die CryptoAPI wurden die Key Storage Provider (KSP) eingeführt.
Continuer la lecture de « Grundlagen: Cryptographic Service Provider (CSP) und Key Storage Provider (KSP) »Details zum Ereignis mit ID 58 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll
| Source de l'événement : | Microsoft-Windows-CertificateServicesClient-CertEnroll |
| ID de l'événement : | 58 (0x825A003A) |
| Journal des événements : | Application |
| Type d'événement : | Avertissement |
| Texte de l'événement (en anglais) : | The „%3“ algorithm for the „%2“ provider was not loaded because initialization failed. |
| Texte de l'événement (en allemand) : | Der „%3“-Algorithmus für den „%2“-Anbieter wurde aufgrund eines Initialisierungsfehlers nicht geladen. |
Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „Provider DLL failed to initialize correctly. 0x8009001d (-2146893795 NTE_PROVIDER_DLL_FAIL).“
Supposons le scénario suivant :
- Une autorité de certification est mise en œuvre sur le réseau.
- Le service d'autorité de certification ne démarre pas
- Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :
Provider DLL failed to initialize correctly. 0x8009001d (-2146893795 NTE_PROVIDER_DLL_FAIL).Continuer la lecture de « Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „Provider DLL failed to initialize correctly. 0x8009001d (-2146893795 NTE_PROVIDER_DLL_FAIL).“ »
Liste des cas d'utilisation des certificats nécessitant des fournisseurs de services cryptographiques (CSP) ou des fournisseurs de stockage de clés (KSP) spécifiques
Avec Windows Server 2008, les algorithmes NSA Suite B (également connus sous le nom de Cryptography Next Generation, CNG) ont introduit, avec les fournisseurs de stockage de clés, une nouvelle interface moderne pour la création, le stockage et l'utilisation de clés privées dans l'écosystème Windows.
Dans la plupart des cas, le CSP ou le KSP utilisé pour les certificats n'a pas d'importance. Toutefois, certaines applications ne fonctionneront pas ou pas correctement si le fournisseur choisi n'est pas le bon.
Voici une liste des cas d'utilisation que je connais pour les certificats qui ne fonctionnent qu'avec un fournisseur de services cryptographiques (CSP) ou un fournisseur de stockage de clés (KSP) spécifique.
Continuer la lecture de « Liste der Use Cases für Zertifikate, die bestimmte Cryptographic Service Provider (CSP) oder Key Storage Provider (KSP) benötigen »La demande d'un certificat échoue avec le message d'erreur „A certificate issued by the certification authority cannot be installed. Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)“
Supposons le scénario suivant :
- Un certificat est demandé à une autorité de certification.
- Le certificat est délivré avec succès par l'autorité de certification.
- Cependant, lors de l'installation du certificat sur le système cible, le message d'erreur suivant apparaît :
A certificate issued by the certification authority cannot be installed. Contact your administrator. Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „A certificate issued by the certification authority cannot be installed. Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)“ »
Demander un certificat protégé par un Trusted Platform Module (TPM) - sans posséder de TPM
Depuis Windows 8, c'est possible, que les clés privées des certificats soient protégées par un module de plate-forme de confiance (TPM), si celui-ci est disponible. De ce fait, la clé n'est pas exportable - même avec des outils comme mimikatz.
Au premier coup d'œil, il n'est toutefois pas évident de garantir l'utilisation d'un TPM. Il est vrai que pas de demande possible via la Microsoft Management Console ou AutoEnrollment si l'ordinateur ne dispose pas de TPM.
Toutefois, la configuration dans le modèle de certificat n'est qu'une configuration par défaut pour le client. Lors de la demande, l'autorité de certification ne vérifiera pas explicitement si un module Trusted Platform a vraiment été utilisé.
Ainsi, si la demande de certificat est effectuée en dehors de la MMC, n'importe quel paramètre peut être utilisé pour la clé privée.
Continuer la lecture de « Beantragen eines durch ein Trusted Platform Modul (TPM) geschütztes Zertifikat – ohne ein TPM zu besitzen »La demande de certificat n'est pas possible, car le modèle de certificat ne s'affiche pas. Le message d'erreur est „Can not find a valid CSP in the local machine“.“
Supposons le scénario suivant :
- Un certificat est demandé pour un utilisateur ou un ordinateur auprès d'une autorité de certification via la console de gestion des certificats (certlm.msc ou certmgr.msc).
- Autoenrollment ne demande pas de certificat du modèle de certificat souhaité, bien qu'il soit activé et que les autorisations soient définies en conséquence.
- Le modèle de certificat souhaité ne s'affiche pas lors d'une demande manuelle via la console de gestion Microsoft (MMC). Si l'on active la case à cocher „Show all templates“, le message d'erreur suivant s'affiche pour le modèle de certificat souhaité :
Cannot find object or property. Can not find a valid CSP in the local machine.Continuer la lecture de « Die Beantragung eines Zertifikats ist nicht möglich, da die Zertifikatvorlage nicht angezeigt wird. Die Fehlermeldung lautet „Can not find a valid CSP in the local machine.“ »
Configuration d'un modèle de certificat pour l'utilisation du Microsoft Platform Crypto Provider afin de permettre la protection de la clé privée par un Trusted Platform Module (TPM)
Depuis Windows 8, il est possible de protéger les clés privées des certificats à l'aide d'un module de plate-forme de confiance (TPM), si celui-ci est disponible. Cela permet une véritable non-exportabilité de la clé.
Le processus de configuration d'un modèle de certificat utilisant un module Trusted Platform est décrit ci-dessous.
Continuer la lecture de « Konfigurieren einer Zertifikatvorlage für die Verwendung des Microsoft Platform Crypto Provider, um Schutz des privaten Schlüssels durch ein Trusted Platform Module (TPM) zu ermöglichen »Récupération d'un certificat d'autorité de certification avec une clé logicielle
Nachfolgend wird die Wiederherstellung eines Zertifizierungsstellen-Zertifikats mit Software-Schlüssel beschrieben.
Die Wiederherstellung des Zertifizierungsstellen-Zertifikats kann aus folgenden Gründen notwendig sein:
- Wiederherstellen einer Zertifizierungsstelle aus einer Sicherung
- Migration der Zertifizierungsstelle auf einen neuen Server
- Notfallsignierung der Sperrlisten auf einem anderen Computer
Français 
Deutsch 
English