Étiquette : Module de plate-forme de confiance (TPM)

Liste des cas d'utilisation des certificats pour lesquels la compatibilité avec les clés basées sur des courbes elliptiques (ECC) est connue

Avec l'augmentation de la puissance de calcul disponible, le besoin d'utiliser des clés cryptographiques plus puissantes augmente également. Il est souvent nécessaire (par exemple parce que les clés doivent être protégées par le module Trusted Platform) de recourir dans ce cadre à des les clés basées sur des courbes elliptiques (ECC) de l'entreprise. Pour leur utilisation, il est essentiel de garantir la compatibilité avec les cas d'utilisation prévus.

Ci-dessous, une liste de cas d'utilisation pour lesquels je connais la compatibilité.

Continuer la lecture de « Liste der Use Cases der Zertifikate, für welche die Kompatibilität zu auf elliptischen Kurven (ECC) basierenden Schlüsseln bekannt ist »

La demande de certificats avec des clés basées sur des courbes elliptiques échoue lors de l'utilisation du Microsoft Platform Crypto Provider

Supposons le scénario suivant :

Error: The requested operation is not supported. 0x80090029 (-2146893783 NTE_NOT_SUPPORTED)

Sur Windows Server 2016, le message d'erreur "No provider was specified for the store or object. 0x80092006 (-2146885626 CRYPT_E_NO_PROVIDER)" est affiché alors que le comportement est sinon identique.

Continuer la lecture de « Die Beantragung von Zertifikaten mit auf elliptischen Kurven basierenden Schlüsseln schlägt fehl, wenn der Microsoft Platform Crypto Provider verwendet wird »

Principes de base : fournisseur de services cryptographiques (CSP) et fournisseur de stockage de clés (KSP)

Depuis Windows NT 4.0, CryptoAPI comprend les Cryptographic Service Provider (CSP).

Le but est qu'une application n'ait pas à se soucier de la mise en œuvre concrète de la gestion des clés, mais puisse laisser cette tâche à des interfaces génériques du système d'exploitation. Cela permet également d'éviter que les clés cryptographiques soient chargées dans la mémoire vive dans le contexte de sécurité de l'utilisateur/de l'application utilisée (un incident de sécurité grave, basé précisément sur ce problème, a été le Incident Heartbleed).

Par exemple, pour le logiciel de l'autorité de certification, la manière dont votre clé privée est protégée (dans un logiciel ou à l'aide d'un module de sécurité matériel (HSM), par exemple) n'a aucune importance sur le plan technique. L'appel de la clé privée est toujours identique pour l'autorité de certification.

Avec Windows Vista et l'introduction de Cryptography Next Generation (CNG) en remplacement de CryptoAPI, les fournisseurs de stockage de clés (KSP) ont été introduits.

Continuer la lecture de « Grundlagen: Cryptographic Service Provider (CSP) und Key Storage Provider (KSP) »

Dépannage de la demande automatique de certificat (auto-enrollment) via RPC/DCOM (MS-WCCE)

Supposons le scénario suivant :

  • Un modèle de certificat est configuré pour la demande automatique de certificats (auto-inscription).
  • Le modèle de certificat est publié sur une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • Les utilisateurs ou les ordinateurs configurés pour la demande automatique de certificats ne demandent toutefois pas les certificats comme prévu.

Vous trouverez ci-dessous un guide de dépannage.

Continuer la lecture de « Fehlersuche für die automatische Zertifikatbeantragung (Autoenrollment) via RPC/DCOM (MS-WCCE) »

Détails de l'événement ID 85 de la source Microsoft-Windows-CertificateServicesClient-CertEnroll

Source de l'événement :Microsoft-Windows-CertificateServicesClient-CertEnroll
ID de l'événement :85 (0x825A0055)
Journal des événements :Application
Type d'événement :Avertissement
Texte de l'événement (en anglais) :L'inscription du certificat pour %1 pour le modèle %2 n'a pas pu effectuer l'attestation en raison d'une erreur avec le matériel cryptographique utilisant le fournisseur : %3. Identifiant de la demande : %4.%5
Texte de l'événement (en allemand) :L'enregistrement du certificat pour „ %1 “ pour le modèle %2 n'a pas pu être vérifié en raison d'une erreur avec le matériel cryptographique du fournisseur %3. ID de la demande : %4.%5
Continuer la lecture de « Details zum Ereignis mit ID 85 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll »

Détails de l'événement ID 86 de la source Microsoft-Windows-CertificateServicesClient-CertEnroll

Source de l'événement :Microsoft-Windows-CertificateServicesClient-CertEnroll
ID de l'événement :86 (0xC25A0056)
Journal des événements :Application
Type d'événement :Erreur
Texte de l'événement (en anglais) :Échec de l'initialisation de l'inscription au certificat SCEP pour %1 via %2 : %3 Méthode : %4 Étape : %5 %6
Texte de l'événement (en allemand) :Erreur lors de l'initialisation de l'enregistrement du certificat SCEP pour %1 via %2 : %3 Méthode : %4 Phase : %5 %6
Continuer la lecture de « Details zum Ereignis mit ID 86 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll »

Configuration de l'attestation de clé du module TPM (Trusted Platform Module)

Depuis Windows 8, c'est possible, que les clés privées des certificats soient protégées par un module de plate-forme de confiance (TPM), si celui-ci est disponible. De ce fait, la clé n'est pas exportable - même avec des outils comme mimikatz.

Au premier coup d'œil, il n'est toutefois pas évident de garantir l'utilisation d'un TPM. Il est vrai que pas de demande possible via la Microsoft Management Console ou AutoEnrollment si l'ordinateur ne dispose pas de TPM.

Toutefois, la configuration dans le modèle de certificat n'est qu'une configuration par défaut pour le client. L'autorité de certification, lorsqu'elle demande un certificat ne pas vérifier explicitement si un module Trusted Platform a vraiment été utilisé.

Pour s'assurer que la clé privée d'une demande de certificat a bien été protégée par un module Trusted Platform, il ne reste donc que l'attestation de clé TPM.

Continuer la lecture de « Konfigurieren der Trusted Platform Module (TPM) Key Attestation »

Demander un certificat protégé par un Trusted Platform Module (TPM) - sans posséder de TPM

Depuis Windows 8, c'est possible, que les clés privées des certificats soient protégées par un module de plate-forme de confiance (TPM), si celui-ci est disponible. De ce fait, la clé n'est pas exportable - même avec des outils comme mimikatz.

Au premier coup d'œil, il n'est toutefois pas évident de garantir l'utilisation d'un TPM. Il est vrai que pas de demande possible via la Microsoft Management Console ou AutoEnrollment si l'ordinateur ne dispose pas de TPM.

Toutefois, la configuration dans le modèle de certificat n'est qu'une configuration par défaut pour le client. Lors de la demande, l'autorité de certification ne vérifiera pas explicitement si un module Trusted Platform a vraiment été utilisé.

Ainsi, si la demande de certificat est effectuée en dehors de la MMC, n'importe quel paramètre peut être utilisé pour la clé privée.

Continuer la lecture de « Beantragen eines durch ein Trusted Platform Modul (TPM) geschütztes Zertifikat – ohne ein TPM zu besitzen »

La demande de certificat n'est pas possible, car le modèle de certificat ne s'affiche pas. Le message d'erreur est „Can not find a valid CSP in the local machine“.“

Supposons le scénario suivant :

  • Un certificat est demandé pour un utilisateur ou un ordinateur auprès d'une autorité de certification via la console de gestion des certificats (certlm.msc ou certmgr.msc).
  • Autoenrollment ne demande pas de certificat du modèle de certificat souhaité, bien qu'il soit activé et que les autorisations soient définies en conséquence.
  • Le modèle de certificat souhaité ne s'affiche pas lors d'une demande manuelle via la console de gestion Microsoft (MMC). Si l'on active la case à cocher „Show all templates“, le message d'erreur suivant s'affiche pour le modèle de certificat souhaité :
Cannot find object or property.
Can not find a valid CSP in the local machine.
Continuer la lecture de « Die Beantragung eines Zertifikats ist nicht möglich, da die Zertifikatvorlage nicht angezeigt wird. Die Fehlermeldung lautet „Can not find a valid CSP in the local machine.“ »

Configuration d'un modèle de certificat pour l'utilisation du Microsoft Platform Crypto Provider afin de permettre la protection de la clé privée par un Trusted Platform Module (TPM)

Depuis Windows 8, il est possible de protéger les clés privées des certificats à l'aide d'un module de plate-forme de confiance (TPM), si celui-ci est disponible. Cela permet une véritable non-exportabilité de la clé.

Le processus de configuration d'un modèle de certificat utilisant un module Trusted Platform est décrit ci-dessous.

Continuer la lecture de « Konfigurieren einer Zertifikatvorlage für die Verwendung des Microsoft Platform Crypto Provider, um Schutz des privaten Schlüssels durch ein Trusted Platform Module (TPM) zu ermöglichen »

La demande d'un certificat protégé par Trusted Platform Module (TPM) échoue avec le message d'erreur „The requested operation is not supported. 0x80090029 (-2146893783 NTE_NOT_SUPPORTED)“

Supposons le scénario suivant :

  • Un modèle de certificat est configuré pour l'utilisation du Microsoft Platform Crypto Provider, de sorte que la clé privée générée lors de la demande de certificat est protégée par un Trusted Platform Module (TPM).
  • Cependant, la demande de certificats échoue avec le message d'erreur suivant :
An error occurred while enrolling for a certificate.
A certificate request could not be created.
Url: CA02.intra.adcslabor.de\ADCS Labor Issuing CA 1
Error: The requested operation is not supported. 0x80090029 (-2146893783 NTE_NOT_SUPPORTED)
Continuer la lecture de « Die Beantragung eines Trusted Platform Module (TPM) geschützten Zertifikats schägt fehl mit Fehlermeldung „The requested operation is not supported. 0x80090029 (-2146893783 NTE_NOT_SUPPORTED)“ »

Inclure les directives d'émission (Issuance Policies) pour la Trusted Platform (TPM) Key Attestation dans un certificat d'autorité de certification

Si l'on installe une autorité de certification émettrice (Issuing CA) et que l'on ne demande pas explicitement une politique d'émission (Issuance Policy), le certificat d'autorité de certification qui en résulte ne contient pas de politique d'émission.

Si l'on souhaite inclure les directives d'émission (Issuance Policies) pour Trusted Platform (TPM) Key Attestation dans le certificat d'autorité de certification, il faut procéder comme suit.

Continuer la lecture de « Die Ausstellungsrichtlinien (Issuance Policies) für Trusted Platform (TPM) Key Attestation in ein Zertifizierungsstellen-Zertifikat aufnehmen »

Déterminer et exporter un certificat d'approbation du module TPM (Trusted Platform Module)

Si l'on souhaite utiliser la Trusted Platform Module (TPM) Key Attestation, on a l'option d'attester le TPM entre autres par le biais du certificat d'endossement (EkCert). La manière d'obtenir cette information est décrite ci-dessous.

Continuer la lecture de « Ermitteln und Exportieren eines Trusted Platform Module (TPM) Endorsement Zertifikats »

Déterminer la somme de contrôle (hash) d'une clé d'endossement Trusted Platform (TPM)

Si l'on souhaite utiliser l'attestation de clé du Trusted Platform Module (TPM), on a l'option d'attester le TPM entre autres par la clé d'endossement (EkPub). La manière d'obtenir cette information est décrite ci-dessous.

Continuer la lecture de « Die Prüfsumme (Hash) eines Trusted Platform (TPM) Endorsement Key ermitteln »

Création d'une carte à puce virtuelle dans un système invité Hyper-V

Pour les environnements de test, il est souvent utile de pouvoir travailler avec des cartes à puce. Voici un petit guide sur la manière de mettre en place une carte à puce virtuelle dans un invité Hyper-V à l'aide d'un module de plate-forme de confiance (TPM) virtualisé.

Continuer la lecture de « Erstellen einer virtuellen Smartcard in einem Hyper-V Gastsystem »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais