Subject Distinguished Name – Page 2

SSCEP : Le sujet de notre demande ne correspond pas à celui du certificat renvoyé !

Supposons le scénario suivant :

Une demande de certificat est effectuée sur un système Linux (par exemple un client léger) au moyen de SSCEP contre un Service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) a été réalisée.
La demande de certificat échoue avec le message d'erreur suivant :

sscep: Subject of our request does not match that of the returned Certificate!

Continuer la lecture

Utilisation de noms distinctifs relatifs (RDN) non définis dans les certificats délivrés

Il est parfois nécessaire d'autoriser les noms distinctifs relatifs (RDN) dans les certificats délivrés qui ne sont pas définis et qui ne sont donc pas inclus dans le certificat. SubjectTemplate valeur de l'enregistrement de l'autorité de certification pourraient être configurés.

Un exemple est l'identifiant d'organisation avec l'identifiant d'objet 2.5.4.97, qui est par exemple nécessaire pour les certificats utilisés pour la eIDAS sont conformes au règlement.

Continuer la lecture

Modifier l'ordre des noms distincts relatifs (RDN) dans le nom distinct du sujet (DN) des certificats émis

Microsoft Active Directory Certificate Services reprend les sujets des demandes de certificats pour les modèles dans lesquels leur spécification par le demandeur est autorisée, pas 1:1 dans le certificat délivré.

Au lieu de cela, est défini à la fois, quels noms distinctifs relatifs (RDN) sont autorisés, L'ordre dans lequel elles sont inscrites dans les certificats délivrés est également défini. Cet ordre peut toutefois être modifié. La manière de procéder est expliquée ci-dessous.

Continuer la lecture

Détails de l'événement ID 53 de la source Microsoft-Windows-CertificationAuthority

Source de l'événement :	Microsoft-Windows-CertificationAuthority
ID de l'événement :	53 (0x35)
Journal des événements :	Application
Type d'événement :	Avertissement
Nom symbolique :	MSG_DN_CERT_DENIED_WITH_INFO
Texte de l'événement (en anglais) :	Active Directory Certificate Services denied request %1 because %2. The request was for %3. Additional information: %4
Texte de l'événement (en allemand) :	Die Anforderung %1 wurde abgelehnt, da %2. Die Anforderung war für %3. Weitere Informationen: %4

Continuer la lecture

Détails de l'événement ID 19 de la source Microsoft-Windows-CertificationAuthority

Source de l'événement :	Microsoft-Windows-CertificationAuthority
ID de l'événement :	19 (0x13)
Journal des événements :	Application
Type d'événement :	Erreur
Nom symbolique :	MSG_E_REG_BAD_SUBJECT_TEMPLATE
Texte de l'événement (en anglais) :	Les services de certificats Active Directory n'ont pas démarré : la chaîne du modèle de nom de sujet dans la valeur de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\%1\SubjectTemplate n'est pas valide. Voici un exemple de chaîne valide : CommonName OrganizationalUnit Organization Locality State Country
Texte de l'événement (en allemand) :	Les services de certificats Active Directory n'ont pas démarré : la chaîne du modèle de nom du demandeur dans l'entrée de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\%1\SubjectTemplate n'est pas valide. Voici un exemple d'entrée valide : CommonName OrganizationalUnit Organization Locality State Country

Continuer la lecture

Détails de l'événement avec ID 22 de la source Microsoft-Windows-CertificationAuthority

Source de l'événement :	Microsoft-Windows-CertificationAuthority
ID de l'événement :	22 (0x16)
Journal des événements :	Application
Type d'événement :	Erreur
Nom symbolique :	MSG_E_PROCESS_REQUEST_FAILED_WITH_INFO
Texte de l'événement (en anglais) :	Les services de certificats Active Directory n'ont pas pu traiter la demande %1 en raison d'une erreur : %2. La demande concernait %3. Informations supplémentaires : %4
Texte de l'événement (en allemand) :	La requête %1 n'a pas pu être exécutée en raison d'une erreur : %2. La requête concernait %3. Informations complémentaires : %4

Continuer la lecture

Configurer un modèle de certificat pour les contrôleurs de domaine

Auch bei einer vermeintlich simpel zu konfigurierenden Zertifikatvorlage für Domänencontroller gibt es einiges zu beachten.

Continuer la lecture

Principes de base : recherche de certificats et validation du chemin de certification

Um feststellen zu können, ob ein Zertifikat von einer als vertrauenswürdig eingestuften Zertifizierungsstelle ausgestellt wurde, muss eine Vertrauenskette (engl. Trust Chain) gebildet werden. Hierfür müssen alle Zertifikate in der Kette ermittelt und überprüft werden. Die Microsoft CryptoAPI bildet alle möglichen Zertifikatketten und liefert diejenigen mit der höchsten Qualität an die anfragende Anwendung zurück.

Continuer la lecture

Accents dans les certificats d'autorité de certification

Internationalisierte Domänennamen (Internationalized Domain Names, IDNs) werden seit Windows Server 2012 im Rahmen der Zertifizierungsstelle und den dazugehörigen Komponenten offiziell unterstützt.

Möchte man diese in seine Zertifizierungsstellen-Zertifikaten benutzen, gibt es jedoch einige Besonderheiten zu beachten.

Continuer la lecture

Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)“

Scénario suivant

Es wird eine Zertifikatanforderung an eine Zertifizierungsstelle gesendet.
La demande de certificat échoue avec le message d'erreur suivant :

Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)

Continuer la lecture

Mehr als ein gemeinsamer Name (Common Name, CN) im Zertifikat

Heutzutage eher eine Kuriosität als wirklich praxisrelevant, aber es kommt hin und wieder vor, dass man Zertifikatanforderungen erhält, welche mehr als einen gemeinsamen Namen (Common Name) im Betreff (Subject) beinhalten. Auch wenn es erstaunlich wirken mag, dies ist durchaus möglich und auch RFC-konform.

Continuer la lecture

Description des paramètres de configuration nécessaires pour le profil de certificat "Common PKI".

Vous trouverez ci-dessous une description des paramètres de configuration nécessaires pour qu'une hiérarchie de certificats basée sur les services de certificats Active Directory soit conforme à la norme „ Common PKI “ (anciennement connue sous le nom d'ISIS-MTT).

Continuer la lecture

Noms distinctifs relatifs (RDN) autorisés dans le Subject Distinguished Name (DN) des certificats délivrés

En principe, le RFC 5280 l'utilisation de n'importe quelle chaîne de caractères dans le Subject Distinguished Name (DN) d'un certificat. Les champs courants sont, dans la norme X.520 sont décrits. Le site Des restrictions de longueur sont également recommandées par l'UIT-T. Les abréviations courantes d'aujourd'hui sont principalement issues du RFC 4519.

Cependant, par défaut, les Microsoft Active Directory Certificate Services n'autorisent que certains RDN.

Les noms distinctifs relatifs (RDN) suivants sont acceptés par défaut par l'autorité de certification Active Directory Certificate Services (ADCS) :

Continuer la lecture

Modifier ultérieurement le Subject Distinguished Name (DN) d'une demande de certificat (CSR)

Il est parfois nécessaire de modifier le Subject Distinguished Name (également appelé Subject, Subject DN, demandeur ou sujet) d'une demande de certificat avant l'émission du certificat.

Dans certaines circonstances, cela est tout à fait possible, comme décrit ci-dessous.

Continuer la lecture