Étiquette : Couche de sockets sécurisés (SSL)

Échange électronique de données avec la Deutsche Rentenversicherung (assurance pension allemande)

Récemment, j'ai travaillé avec la B-I-T GmbH Informations et processus de Hanovre a travaillé à la réalisation de l'échange électronique de données avec les caisses d'assurance maladie légales et l'assurance pension à partir d'une seule application.

Dans ce cas, on utilise une combinaison de transmission de données authentifiées de messages à la fois signés et cryptés. Dans tous ces cas, les technologies PKI sont utilisées.

Le format de message utilisé est ici documenté.

Continuer la lecture de « Elektronischer Datenaustausch mit der Deutschen Rentenversicherung »

Inspecter le trafic TLS avec Wireshark (décrypter HTTPS)

Lors du dépannage, il peut être très utile de voir les connexions SSL cryptées afin de pouvoir inspecter les messages qu'elles contiennent. Il existe un moyen relativement simple de le faire avec Wireshark.

Continuer la lecture de « TLS-Datenverkehr mit Wireshark inspizieren (HTTPS entschlüsseln) »

Code d'erreur HTTP 403 lors de la connexion à Internet Information Services (IIS) à l'aide d'un certificat client après le renouvellement du certificat du serveur web

Supposons le scénario suivant :

  • Un utilisateur ou une application consulte une page web ou une application web exécutée sur un serveur web Internet Information Services (IIS).
  • Le serveur web est configuré de telle sorte qu'un certificat client est demandé pour la ressource appelée.
  • Bien qu'il existe un certificat client valide sur le client, le code d'erreur 403 Forbidden est immédiatement renvoyé. L'utilisateur n'est pas invité à choisir un certificat (lors de l'ouverture de la page avec un navigateur).
  • Le certificat du serveur web a été récemment renouvelé et la liaison SSL IIS a été configurée en conséquence via le gestionnaire IIS.
403 - Forbidden: Access is denied.
You do not have permission to view this directory or page using the credentials that you supplied.
Continuer la lecture de « HTTP Fehlercode 403 bei Anmeldung mittels Client-Zertifikat an Internet Information Services (IIS) nach Erneuerung des Webserver-Zertifikats »

Demande manuelle d'un certificat de serveur web

Dans certains cas, il n'est pas possible ou souhaitable d'obtenir des certificats de serveur web directement auprès d'une autorité de certification de sa propre structure globale Active Directory via la Microsoft Management Console, par exemple lorsque le système concerné n'est pas membre du domaine.

Dans ce cas, il n'est pas possible d'utiliser des modèles de certificats et il faut créer manuellement une demande de certificat (Certificate Signing Request, CSR).

Continuer la lecture de « Manuelle Beantragung eines Webserver-Zertifikats »

Utilisation de HTTP via Transport Layer Security (HTTPS) pour les points de distribution de listes de blocage (CDP) et le répondeur en ligne (OCSP)

In Hinsicht auf die Gestaltung der Infrastruktur zur Bereitstellung der Sperrinformationen – also der Sperrlistenverteilungspunkte (CRL Distribution Point, CSP) sowie der Online Responder (Online Certificate Status Protocol, OCSP) kommt die Frage auf, ob man diese über Secure Sockets Layer (SSL) bzw. Transport Layer Security (TLS) „absichern“ sollte.

Continuer la lecture de « Verwenden von HTTP über Transport Layer Security (HTTPS) für die Sperrlistenverteilungspunkte (CDP) und den Onlineresponder (OCSP) »

Faut-il utiliser HTTPS pour le service d'enregistrement des périphériques réseau (NDES) ?

Beim Registrierungsdienst für Netzwerkgeräte (NDES) handelt es sich um die Microsoft-Implementierung des in den frühen 2000ern von der Firma Cisco entwickelten Simple Certificate Enrollment Protocol (SCEP). Die erste Implementierung wurde mit Windows Server 2003 veröffentlicht.

Es mag verwundern, dass NDES in der Standardeinstellung bis heute kein Secure Socket Layer (SSL) für die HTTP-Verbindungen verwendet. Dieser Sachverhalt wird nachfolgend näher erläutert und bewertet.

Continuer la lecture de « Sollte HTTPS für den Registrierungsdienst für Netzwerkgeräte (NDES) verwendet werden? »

Configurer le Network Device Enrollment Service (NDES) pour l'utiliser avec un alias

Nachfolgend wird beschrieben, welche Schritte erforderlich sind, um den Registrierungs dienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) für die Verwendung mit einem Alias zu konfigurieren.

Mit dem Begriff Alias ist gemeint, dass der Dienst nicht mit dem Namen des Servers, auf welchem er installiert ist, aufgerufen wird, sondern mit einem hierbon unabhängigen, generischen Namen. Die Verwendung eines Alias ermöglicht, dass der Dienst zu einem späteren Zeitpunkt auf ein anderes System umgezogen werden kann, ohne dass die neue Adresse allen Teilnehmern mitgeteilt werden muss.

Continuer la lecture de « Den Network Device Enrollment Service (NDES) für die Verwendung mit einem Alias konfigurieren »

Chrome et Safari limitent les certificats SSL à un an de validité

Apple hat vor kurzem angekündigt, dass der Safari-Browser künftig nur noch Zertifikate mit einer Gültigkeit von 398 Tagen akzeptieren wird, sofern diese ab 1. September 2020 ausgestellt wurden.

Mozilla und Google wollen in ihren Browsern ein vergleichbares Verhalten implementieren. Es stellt sich also die Frage, ob diese Änderung Auswirkungen auf interne Zertifizierungsstellen haben wird – ob künftig also auch interne SSL-Zertifikate diese Regeln befolgen müssen, wie es beispielsweise bei der Erzwingung des RFC 2818 durch Google der Fall war.

Continuer la lecture de « Chrome und Safari limitieren SSL Zertifikate auf ein Jahr Gültigkeit »

La demande d'un certificat via l'enregistrement web de l'autorité de certification (CAWE) échoue avec le code d'erreur HTTP 403 "Forbidden : Access is denied".

Supposons le scénario suivant :

  • Un serveur pour l'enregistrement web des autorités de certification (Certificate Authority Web Enrollment, CAWE) est installé sur le réseau.
  • Le rôle est installé sur un serveur séparé, pas directement sur l'autorité de certification.
  • Un utilisateur tente de demander un certificat via l'enregistrement web de l'autorité de certification ou de soumettre une demande de certificat existante à l'autorité de certification.
  • La connexion de l'utilisateur à CAWE échoue avec le code HTTP 403 "Forbidden : Access is denied :
You do not have permission to view this directory or page using the credentials that you supplied.
Continuer la lecture de « Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit HTTP Fehlercode 403 „Forbidden: Access is denied.“ »

Effectuer un test de fonctionnement pour l'enregistrement web de l'autorité de certification (CAWE)

Après l'installation et la configuration du Certificate Authority Web Enrollment (CAWE), il est essentiel que le composant soit testé de manière approfondie avant d'être mis à la disposition des utilisateurs. Vous trouverez ci-dessous des instructions pour un test fonctionnel détaillé.

Continuer la lecture de « Funktionstest durchführen für die Zertifizierungsstellen-Webregistrierung (CAWE) »

Activer le protocole Secure Sockets Layer (SSL) pour l'enregistrement web de l'autorité de certification (CAWE)

Dans la configuration standard, le Certificate Authority Web Enrollment (CAWE) n'accepte que les connexions non cryptées via HTTP. Il est conseillé de configurer le CAWE pour HTTP via TLS (HTTPS) afin de rendre l'enregistrement du trafic réseau plus difficile. Vous trouverez ci-dessous des instructions à ce sujet.

Continuer la lecture de « Secure Sockets Layer (SSL) für die Zertifizierungsstellen-Webregistrierung (CAWE) aktivieren »

La demande d'un certificat via le Certificate Enrollment Web Service (CES) échoue avec le code d'erreur "WS_E_INVALID_ENDPOINT_URL".

Supposons le scénario suivant :

  • On essaie de demander un certificat via un Certificate Enrollment Web Service (CEP) d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • L'opération échoue avec le message d'erreur suivant :
Certificate Request Processor: The endpoint address URL is invalid. 0x803d0020 (-2143485920 WS_E_INVALID_ENDPOINT_URL)
Continuer la lecture de « Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlercode „WS_E_INVALID_ENDPOINT_URL“ »

La demande d'un certificat via le Certificate Enrollment Web Service (CES) échoue avec le code d'erreur "ERROR_WINHTTP_INVALID_CA".

Supposons le scénario suivant :

  • On essaie de demander un certificat via un Certificate Enrollment Web Service (CEP) d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • L'opération échoue avec le message d'erreur suivant :
Die Zertifizierungsstelle ist ungültig oder fehlerhaft. 0x80072f0d (WinHttp: 12045 ERROR_WINHTTP_SECURE_INVALID_CA)
Continuer la lecture de « Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlercode „ERROR_WINHTTP_INVALID_CA“ »

Configurer un modèle de certificat Secure Socket Layer (SSL) pour serveur web

Ci-dessous, des instructions pour la configuration d'un modèle de serveur web avec les paramètres recommandés.

Continuer la lecture de « Konfigurieren einer Secure Socket Layer (SSL) Zertifikatvorlage für Web Server »

Inspecter une demande de certificat (CSR)

On souhaite souvent vérifier une demande de certificat avant de la transmettre à une autorité de certification - ou avant d'émettre le certificat - pour s'assurer qu'elle contient les valeurs souhaitées.

La manière d'y parvenir est décrite ci-dessous.

Continuer la lecture de « Eine Zertifikatanforderung (CSR) inspizieren »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais