Étiquette : PKCS#7

Échange électronique de données avec la Deutsche Rentenversicherung (assurance pension allemande)

Récemment, j'ai travaillé avec la B-I-T GmbH Informations et processus de Hanovre a travaillé à la réalisation de l'échange électronique de données avec les caisses d'assurance maladie légales et l'assurance pension à partir d'une seule application.

Dans ce cas, on utilise une combinaison de transmission de données authentifiées de messages à la fois signés et cryptés. Dans tous ces cas, les technologies PKI sont utilisées.

Le format de message utilisé est ici documenté.

Continuer la lecture de « Elektronischer Datenaustausch mit der Deutschen Rentenversicherung »

Les demandes de certificat pour le répondeur en ligne (OCSP) échouent sporadiquement avec le message d'erreur „ La fonction de révocation n'a pas pu vérifier la révocation du certificat. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK) “.“

Supposons le scénario suivant :

  • Un répondeur en ligne (OCSP) est configuré dans le réseau.
  • Les autorités de certification signalent à intervalles irréguliers que les demandes de certificats pour les certificats de signature de réponse OCSP échouent avec le message d'erreur suivant :
The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK).
Continuer la lecture de « Zertifikatanforderungen für den Onlineresponder (OCSP) schlagen sporadisch fehl mit Fehlermeldung „The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)“ »

Principes de base : Enroll on Behalf of (EOBO)

Vous trouverez ci-dessous une description de la fonction Enroll on Behalf Of ainsi qu'une délimitation par rapport aux autres méthodes de demande de certificats.

Continuer la lecture de « Grundlagen: Enroll on Behalf of (EOBO) »

SSCEP : Le sujet de notre demande ne correspond pas à celui du certificat renvoyé !

Supposons le scénario suivant :

sscep: Subject of our request does not match that of the returned Certificate!
Continuer la lecture de « SSCEP: Subject of our request does not match that of the returned Certificate! »

Installer SSCEP pour Linux (Debian Buster) et demander des certificats via le service d'enregistrement des périphériques réseau (NDES)

Si l'on souhaite équiper une grande quantité de systèmes avec des certificats, il faut une demande manuelle et le renouvellement des certificats ne sont pas une option. La seule voie possible est l'automatisation.

Pour les systèmes qui ne sont pas membres de la structure globale d'Active Directory, une demande automatique de certificat via RPC/DCOM pas une option.

Pour certains cas d'application, le Simple Certificate Enrollment Protocol (SCEP) est une alternative intéressante. Pour ce protocole, il n'existe pas seulement des clients pour Windows, mais aussi pour Linux avec SSCEP. SSCEP est notamment utilisé par les clients légers avec le protocole Système d'exploitation eLux est utilisé.

Voici comment configurer le client SSCEP sur un système Debian Buster Linux, soit pour administrer des serveurs, soit pour tester le comportement côté client.

Continuer la lecture de « SSCEP für Linux (Debian Buster) installieren und Zertifikate über den Registrierungsdienst für Netzwerkgeräte (NDES) beantragen »

Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)

Le Simple Certificate Enrollment Protocol (SCEP) a été développé par Verisign pour Cisco au début des années 2000 afin de pouvoir utiliser une méthode simplifiée pour demander des certificats. Auparavant, il fallait générer manuellement une demande de certificat pour chaque appareil du réseau, la transmettre à une autorité de certification, puis réinstaller manuellement le certificat délivré sur l'appareil correspondant.

Continuer la lecture de « Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) »

Description des différents formats de certificats

Les certificats X.509 sont en principe codés au format Distinguished Encoding Rules (DER). Il s'agit d'un format binaire lisible par une machine.

Les certificats codés DER peuvent toutefois être convertis en un format textuel à l'aide de la procédure BASE64, de sorte qu'ils puissent par exemple être transmis dans un corps d'e-mail. BASE64 englobe ici le format codé DER, c'est-à-dire que le certificat est et reste dans tous les cas codé DER.

Continuer la lecture de « Beschreibung der verschiedenen Zertifikat-Formate »

Faut-il utiliser HTTPS pour le service d'enregistrement des périphériques réseau (NDES) ?

Le service d'enregistrement des périphériques réseau (NDES) est l'implémentation par Microsoft du protocole SCEP (Simple Certificate Enrollment Protocol) développé au début des années 2000 par la société Cisco. La première implémentation a été publiée avec Windows Server 2003.

Il peut paraître surprenant que NDES n'utilise toujours pas, dans sa configuration standard, le protocole SSL (Secure Socket Layer) pour les connexions HTTP. Ce fait est expliqué et évalué plus en détail ci-après.

Continuer la lecture de « Sollte HTTPS für den Registrierungsdienst für Netzwerkgeräte (NDES) verwendet werden? »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais