| Source de l'événement : | Microsoft-Windows-CertificationAuthority |
| ID de l'événement : | 53 (0x35) |
| Journal des événements : | Application |
| Type d'événement : | Avertissement |
| Nom symbolique : | MSG_DN_CERT_DENIED_WITH_INFO |
| Texte de l'événement (en anglais) : | Les services de certificats Active Directory ont refusé la demande %1 en raison de %2. La demande concernait %3. Informations supplémentaires : %4 |
| Texte de l'événement (en allemand) : | La demande %1 a été rejetée car %2. La demande concernait %3. Informations complémentaires : %4 |
Étiquette : Nom alternatif du sujet (SAN)
Détails de l'événement avec ID 22 de la source Microsoft-Windows-CertificationAuthority
| Source de l'événement : | Microsoft-Windows-CertificationAuthority |
| ID de l'événement : | 22 (0x16) |
| Journal des événements : | Application |
| Type d'événement : | Erreur |
| Nom symbolique : | MSG_E_PROCESS_REQUEST_FAILED_WITH_INFO |
| Texte de l'événement (en anglais) : | Les services de certificats Active Directory n'ont pas pu traiter la demande %1 en raison d'une erreur : %2. La demande concernait %3. Informations supplémentaires : %4 |
| Texte de l'événement (en allemand) : | La requête %1 n'a pas pu être exécutée en raison d'une erreur : %2. La requête concernait %3. Informations complémentaires : %4 |
Détails de l'événement ID 30 de la source Microsoft-Windows-NetworkDeviceEnrollmentService
| Source de l'événement : | Microsoft Windows NetworkDeviceEnrollmentService |
| ID de l'événement : | 30 (0x1E) |
| Journal des événements : | Application |
| Type d'événement : | Erreur |
| Nom symbolique : | EVENT_MSCEP_FAIL_ADD_ALT |
| Texte de l'événement (en anglais) : | Le service d'inscription des périphériques réseau ne peut pas ajouter d'extension de nom de sujet alternative à la demande de certificat (%1). %2 |
| Texte de l'événement (en allemand) : | Le service d'enregistrement des périphériques réseau ne peut pas ajouter d'extension pour un nom de demandeur alternatif à la demande de certificat (%1). %2 |
Détails de l'événement avec ID 21 de la source Microsoft-Windows-Kerberos-Key-Distribution-Center
| Source de l'événement : | Centre de distribution de clés Microsoft-Windows-Kerberos |
| ID de l'événement : | 21 (0x80000015) |
| Journal des événements : | Système |
| Type d'événement : | Avertissement |
| Texte de l'événement (en anglais) : | Le certificat client de l'utilisateur %1\%2 n'est pas valide et a entraîné l'échec de la connexion de la carte à puce. Veuillez contacter l'utilisateur pour plus d'informations sur le certificat qu'il essaie d'utiliser pour la connexion par carte à puce. Le statut de la chaîne était : %3 |
| Texte de l'événement (en allemand) : | Le certificat client pour l'utilisateur %1\%2 n'est pas valide. Cela a entraîné une erreur lors de la connexion à la carte à puce. Contactez l'utilisateur pour obtenir plus d'informations sur le certificat à utiliser pour l'application de la carte à puce. État de la chaîne : %3 |
Configurer un modèle de certificat pour les contrôleurs de domaine
Même dans le cas d'un modèle de certificat pour contrôleurs de domaine supposé simple à configurer, certains points doivent être pris en compte.
Continuer la lecture de « Konfigurieren einer Zertifikatvorlage für Domänencontroller »Configurer le Network Device Enrollment Service (NDES) pour l'utiliser avec un alias
Les étapes suivantes décrivent comment configurer le service d'inscription des périphériques réseau (NDES) pour une utilisation avec un alias.
Le terme « alias » signifie que le service n'est pas appelé avec le nom du serveur sur lequel il est installé, mais avec un nom générique indépendant de celui-ci. L'utilisation d'un alias permet de transférer le service vers un autre système à une date ultérieure sans avoir à communiquer la nouvelle adresse à tous les participants.
Continuer la lecture de « Den Network Device Enrollment Service (NDES) für die Verwendung mit einem Alias konfigurieren »Demande manuelle d'un certificat Remote Desktop (RDP)
Il existe des cas où il n'est pas possible ou souhaitable d'obtenir des certificats de bureau à distance auprès d'une autorité de certification dans sa propre structure Active Directory, par exemple lorsque le système concerné n'est pas membre du domaine.
Dans ce cas, l'utilisation de modèles de certificat n'est pas possible et il faut créer manuellement une demande de certificat (Certificate Signing Request, CSR).
Continuer la lecture de « Manuelle Beantragung eines Remotedesktop (RDP) Zertifikats »Les certificats de contrôleur de domaine ne contiennent pas le nom de domaine dans le Subject Alternative Name (SAN).
Supposons le scénario suivant :
- Les certificats pour les contrôleurs de domaine sont émis par une autorité de certification intégrée à Active Directory (Enterprise CA).
- Le modèle de certificat utilisé à cet effet a été créé par nos soins.
- Les certificats émis contiennent uniquement le nom complet de l'ordinateur du contrôleur de domaine correspondant dans le champ Subject Alternative Name (SAN), mais pas le nom complet et le nom NETBIOS du domaine.
Noms distinctifs relatifs (RDN) autorisés dans le Subject Distinguished Name (DN) des certificats délivrés
En principe, le RFC 5280 l'utilisation de n'importe quelle chaîne de caractères dans le Subject Distinguished Name (DN) d'un certificat. Les champs courants sont, dans la norme X.520 sont décrits. Le site Des restrictions de longueur sont également recommandées par l'UIT-T. Les abréviations courantes d'aujourd'hui sont principalement issues du RFC 4519.
Cependant, par défaut, les Microsoft Active Directory Certificate Services n'autorisent que certains RDN.
Les noms distinctifs relatifs (RDN) suivants sont acceptés par défaut par l'autorité de certification Active Directory Certificate Services (ADCS) :
Continuer la lecture de « Erlaubte Relative Distinguished Names (RDNs) im Subject Distinguished Name (DN) ausgestellter Zertifikate »Inspecter une demande de certificat (CSR)
On souhaite souvent vérifier une demande de certificat avant de la transmettre à une autorité de certification - ou avant d'émettre le certificat - pour s'assurer qu'elle contient les valeurs souhaitées.
La manière d'y parvenir est décrite ci-dessous.
Continuer la lecture de « Eine Zertifikatanforderung (CSR) inspizieren »Vecteur d'attaque sur le service d'annuaire Active Directory via le mécanisme de connexion par carte à puce
Pour simplifier, on peut réduire la cryptographie à clé publique à l'hypothèse que la partie privée de chaque paire de clés n'est connue que de son propriétaire.
Une autorité de certification est responsable de l'identification correcte des utilisateurs, des ordinateurs ou des ressources. Les certificats qu'elle délivre bénéficient donc d'un statut de confiance, car tous les participants supposent que leur clé privée n'est connue que d'elle.
Si un attaquant parvient à prendre connaissance de la clé privée d'une autorité de certification, ou au moins d'effectuer des signatures au moyen de la clé privéeL'intégrité de l'autorité de certification n'est plus garantie.
Continuer la lecture de « Angriffsvektor auf den Active Directory Verzeichnisdienst über den Smartcard Logon Mechanismus »Génération d'une demande de certificat conforme à la RFC 2818 pour les certificats SSL
Google est très actif avec le projet Chromium et les produits basés sur ce dernier, tels que Google Chrome et Microsoft Edge ont commencé à appliquer la loi sur la protection des données adoptée en 2000. RFC 2818 et de ne plus faire confiance aux certificats qui ne satisfont plus au RFC.
Pour nous, la phrase suivante est d'une grande acuité :
Continuer la lecture de « Erzeugen einer RFC 2818 konformen Zertifikatanforderung für SSL Zertifikate »Si une extension subjectAltName de type dNSName est présente, elle DOIT être utilisée comme identité. Sinon, le champ Nom commun (le plus spécifique) dans le champ Sujet du certificat DOIT être utilisé. Bien que l'utilisation du nom commun soit une pratique existante, elle est dépréciée et les autorités de certification sont encouragées à utiliser le dNSName à la place.
https://tools.ietf.org/html/rfc2818
Mise en danger de la structure globale d'Active Directory par le drapeau EDITF_ATTRIBUTESUBJECTALTNAME2
En réseau circulent malheureusement beaucoup sur beaucoup de Instructions (même les grands acteurs n'en sont pas excluspas même Microsoft lui-même ou le Grand Maître Komar), qui recommandent fatalement que le drapeau EDITF_ATTRIBUTESUBJECTALTNAME2 soit activé sur l'autorité de certification - soi-disant pour être en mesure d'émettre des certificats avec l'extension Subject Alternative Name (SAN) pour les demandes de certificats faites manuellement.
Malheureusement, cette procédure n'est pas seulement inutile, elle a aussi quelques effets secondaires désagréables qui peuvent, dans le pire des cas, aider un attaquant à prendre le contrôle de toute la structure globale d'Active Directory.
Continuer la lecture de « Gefährdung der Active Directory Gesamtstruktur durch das Flag EDITF_ATTRIBUTESUBJECTALTNAME2 »Demande manuelle de certificat de contrôleur de domaine
Dans certains cas, il n'est pas possible ou souhaitable d'obtenir des certificats de contrôleur de domaine auprès d'une autorité de certification de sa propre structure globale Active Directory.
Dans ce cas, l'utilisation de modèles de certificats n'est pas possible et il faut créer manuellement une demande de certificat (Certificate Signing Request, CSR).
Français 
Deutsch 
English