| Source de l'événement : | Microsoft-Windows-CertificationAuthority |
| ID de l'événement : | 53 (0x35) |
| Journal des événements : | Application |
| Type d'événement : | Avertissement |
| Nom symbolique : | MSG_DN_CERT_DENIED_WITH_INFO |
| Texte de l'événement (en anglais) : | Active Directory Certificate Services denied request %1 because %2. The request was for %3. Additional information: %4 |
| Texte de l'événement (en allemand) : | Die Anforderung %1 wurde abgelehnt, da %2. Die Anforderung war für %3. Weitere Informationen: %4 |
Étiquette : Nom alternatif du sujet (SAN)
Détails de l'événement avec ID 22 de la source Microsoft-Windows-CertificationAuthority
| Source de l'événement : | Microsoft-Windows-CertificationAuthority |
| ID de l'événement : | 22 (0x16) |
| Journal des événements : | Application |
| Type d'événement : | Erreur |
| Nom symbolique : | MSG_E_PROCESS_REQUEST_FAILED_WITH_INFO |
| Texte de l'événement (en anglais) : | Les services de certificats Active Directory n'ont pas pu traiter la demande %1 en raison d'une erreur : %2. La demande concernait %3. Informations supplémentaires : %4 |
| Texte de l'événement (en allemand) : | La requête %1 n'a pas pu être exécutée en raison d'une erreur : %2. La requête concernait %3. Informations complémentaires : %4 |
Details zum Ereignis mit ID 30 der Quelle Microsoft-Windows-NetworkDeviceEnrollmentService
| Source de l'événement : | Microsoft-Windows-NetworkDeviceEnrollmentService |
| ID de l'événement : | 30 (0x1E) |
| Journal des événements : | Application |
| Type d'événement : | Erreur |
| Nom symbolique : | EVENT_MSCEP_FAIL_ADD_ALT |
| Texte de l'événement (en anglais) : | The Network Device Enrollment Service cannot add an alternative subject name extension to the certificate request (%1). %2 |
| Texte de l'événement (en allemand) : | Der Zertifikatanforderung kann vom Registrierungsdienst für Netzwerkgeräte keine Erweiterung für einen alternativen Antragstellernamen hingezufügt werden (%1). %2 |
Détails de l'événement avec ID 21 de la source Microsoft-Windows-Kerberos-Key-Distribution-Center
| Source de l'événement : | Centre de distribution de clés Microsoft-Windows-Kerberos |
| ID de l'événement : | 21 (0x80000015) |
| Journal des événements : | Système |
| Type d'événement : | Avertissement |
| Texte de l'événement (en anglais) : | Le certificat client de l'utilisateur %1\%2 n'est pas valide et a entraîné l'échec de la connexion de la carte à puce. Veuillez contacter l'utilisateur pour plus d'informations sur le certificat qu'il essaie d'utiliser pour la connexion par carte à puce. Le statut de la chaîne était : %3 |
| Texte de l'événement (en allemand) : | Das Clientzertifikat für den Benutzer %1\%2 ist nicht gültig. Das Ergebnis war ein Fehler bei der Smartcard-Anmeldung. Wenden Sie sich an den Benutzer, um weitere Informationen über das Zertifikat zu erhalten, das für die Smartcard-Anwendung verwendet werden soll. Kettenstatus: %3 |
Configurer un modèle de certificat pour les contrôleurs de domaine
Auch bei einer vermeintlich simpel zu konfigurierenden Zertifikatvorlage für Domänencontroller gibt es einiges zu beachten.
Continuer la lecture de « Konfigurieren einer Zertifikatvorlage für Domänencontroller »Configurer le Network Device Enrollment Service (NDES) pour l'utiliser avec un alias
Nachfolgend wird beschrieben, welche Schritte erforderlich sind, um den Registrierungs dienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) für die Verwendung mit einem Alias zu konfigurieren.
Mit dem Begriff Alias ist gemeint, dass der Dienst nicht mit dem Namen des Servers, auf welchem er installiert ist, aufgerufen wird, sondern mit einem hierbon unabhängigen, generischen Namen. Die Verwendung eines Alias ermöglicht, dass der Dienst zu einem späteren Zeitpunkt auf ein anderes System umgezogen werden kann, ohne dass die neue Adresse allen Teilnehmern mitgeteilt werden muss.
Continuer la lecture de « Den Network Device Enrollment Service (NDES) für die Verwendung mit einem Alias konfigurieren »Demande manuelle d'un certificat Remote Desktop (RDP)
Es gibt Fälle, in welchen man Remotedesktop-Zertifikate nicht von einer Zertifizierungsstelle in der eigenen Active Directory Gesamtstruktur beziehen kann oder möchte, beispielsweise wenn das betreffende System kein Domänenmitglied ist.
In diesem Fall ist die Verwendung von Zertifikatvorlagen nicht möglich, und man muss manuell einen Zertifikatantrag (Certificate Signing Request, CSR erstellen).
Continuer la lecture de « Manuelle Beantragung eines Remotedesktop (RDP) Zertifikats »Les certificats de contrôleur de domaine ne contiennent pas le nom de domaine dans le Subject Alternative Name (SAN).
Supposons le scénario suivant :
- Les certificats pour les contrôleurs de domaine sont émis par une autorité de certification intégrée à Active Directory (Enterprise CA).
- Le modèle de certificat utilisé à cet effet a été créé par nos soins.
- Les certificats émis contiennent uniquement le nom complet de l'ordinateur du contrôleur de domaine correspondant dans le champ Subject Alternative Name (SAN), mais pas le nom complet et le nom NETBIOS du domaine.
Noms distinctifs relatifs (RDN) autorisés dans le Subject Distinguished Name (DN) des certificats délivrés
En principe, le RFC 5280 l'utilisation de n'importe quelle chaîne de caractères dans le Subject Distinguished Name (DN) d'un certificat. Les champs courants sont, dans la norme X.520 sont décrits. Le site Des restrictions de longueur sont également recommandées par l'UIT-T. Les abréviations courantes d'aujourd'hui sont principalement issues du RFC 4519.
Cependant, par défaut, les Microsoft Active Directory Certificate Services n'autorisent que certains RDN.
Les noms distinctifs relatifs (RDN) suivants sont acceptés par défaut par l'autorité de certification Active Directory Certificate Services (ADCS) :
Continuer la lecture de « Erlaubte Relative Distinguished Names (RDNs) im Subject Distinguished Name (DN) ausgestellter Zertifikate »Inspecter une demande de certificat (CSR)
On souhaite souvent vérifier une demande de certificat avant de la transmettre à une autorité de certification - ou avant d'émettre le certificat - pour s'assurer qu'elle contient les valeurs souhaitées.
La manière d'y parvenir est décrite ci-dessous.
Continuer la lecture de « Eine Zertifikatanforderung (CSR) inspizieren »Vecteur d'attaque sur le service d'annuaire Active Directory via le mécanisme de connexion par carte à puce
Pour simplifier, on peut réduire la cryptographie à clé publique à l'hypothèse que la partie privée de chaque paire de clés n'est connue que de son propriétaire.
Une autorité de certification est responsable de l'identification correcte des utilisateurs, des ordinateurs ou des ressources. Les certificats qu'elle délivre bénéficient donc d'un statut de confiance, car tous les participants supposent que leur clé privée n'est connue que d'elle.
Si un attaquant parvient à prendre connaissance de la clé privée d'une autorité de certification, ou au moins d'effectuer des signatures au moyen de la clé privéeL'intégrité de l'autorité de certification n'est plus garantie.
Continuer la lecture de « Angriffsvektor auf den Active Directory Verzeichnisdienst über den Smartcard Logon Mechanismus »Génération d'une demande de certificat conforme à la RFC 2818 pour les certificats SSL
Google est très actif avec le projet Chromium et les produits basés sur ce dernier, tels que Google Chrome et Microsoft Edge ont commencé à appliquer la loi sur la protection des données adoptée en 2000. RFC 2818 et de ne plus faire confiance aux certificats qui ne satisfont plus au RFC.
Pour nous, la phrase suivante est d'une grande acuité :
Continuer la lecture de « Erzeugen einer RFC 2818 konformen Zertifikatanforderung für SSL Zertifikate »Si une extension subjectAltName de type dNSName est présente, elle DOIT être utilisée comme identité. Sinon, le champ Nom commun (le plus spécifique) dans le champ Sujet du certificat DOIT être utilisé. Bien que l'utilisation du nom commun soit une pratique existante, elle est dépréciée et les autorités de certification sont encouragées à utiliser le dNSName à la place.
https://tools.ietf.org/html/rfc2818
Mise en danger de la structure globale d'Active Directory par le drapeau EDITF_ATTRIBUTESUBJECTALTNAME2
En réseau circulent malheureusement beaucoup sur beaucoup de Instructions (même les grands acteurs n'en sont pas excluspas même Microsoft lui-même ou le Grand Maître Komar), qui recommandent fatalement que le drapeau EDITF_ATTRIBUTESUBJECTALTNAME2 soit activé sur l'autorité de certification - soi-disant pour être en mesure d'émettre des certificats avec l'extension Subject Alternative Name (SAN) pour les demandes de certificats faites manuellement.
Malheureusement, cette procédure n'est pas seulement inutile, elle a aussi quelques effets secondaires désagréables qui peuvent, dans le pire des cas, aider un attaquant à prendre le contrôle de toute la structure globale d'Active Directory.
Continuer la lecture de « Gefährdung der Active Directory Gesamtstruktur durch das Flag EDITF_ATTRIBUTESUBJECTALTNAME2 »Demande manuelle de certificat de contrôleur de domaine
Dans certains cas, il n'est pas possible ou souhaitable d'obtenir des certificats de contrôleur de domaine auprès d'une autorité de certification de sa propre structure globale Active Directory.
Dans ce cas, l'utilisation de modèles de certificats n'est pas possible et il faut créer manuellement une demande de certificat (Certificate Signing Request, CSR).
Français 
Deutsch 
English