Étiquette : Modèle de certificat

Utiliser l'assurance du mécanisme d'authentification (AMA) pour sécuriser la connexion des comptes administratifs

L'assurance du mécanisme d'authentification (AMA) est une fonction qui doit garantir qu'un utilisateur n'est membre d'un groupe de sécurité que s'il s'est connecté avec une méthode d'authentification forte (c'est-à-dire une carte à puce). Si l'utilisateur se connecte à l'aide d'un nom d'utilisateur et d'un mot de passe, il ne peut pas accéder aux ressources demandées.

Conçu à l'origine pour l'accès aux serveurs de fichiers, l'AMA peut toutefois être utilisé (avec quelques restrictions) pour la connexion administrative. Ainsi, il serait par exemple envisageable qu'un utilisateur soit non privilégié s'il se connecte avec un nom d'utilisateur et un mot de passe, et qu'il dispose de droits administratifs s'il se connecte avec un certificat.

Continuer la lecture de « Verwenden von Authentication Mechanism Assurance (AMA) für die Absicherung der Anmeldung administrativer Konten »

Bases de la demande manuelle et automatique de certificats via le Lightweight Directory Access Protocol (LDAP) et Remote Procedure Call / Distributed Common Object Model (RPC/DCOM) avec le protocole MS-WCCE

Nous décrivons ci-dessous le processus qui se déroule en arrière-plan lors de la demande manuelle ou automatique de certificats afin d'atteindre le plus haut degré d'automatisation possible.

Continuer la lecture de « Grundlagen manuelle und automatische Zertifikatbeantragung über Lightweight Directory Access Protocol (LDAP) und Remote Procedure Call / Distributed Common Object Model (RPC/DCOM) mit dem MS-WCCE Protokoll »

Configurer un modèle de certificat Secure Socket Layer (SSL) pour serveur web

Ci-dessous, des instructions pour la configuration d'un modèle de serveur web avec les paramètres recommandés.

Continuer la lecture de « Konfigurieren einer Secure Socket Layer (SSL) Zertifikatvorlage für Web Server »

Configurer un modèle de certificat pour Authentication Mechanism Assurance (AMA)

L'assurance du mécanisme d'authentification (AMA) offre la possibilité de lier l'adhésion à un groupe de sécurité à l'inscription avec un certificat de carte à puce contenant un identifiant d'objet (OID) spécifique.

Si l'utilisateur ne se connecte pas avec son certificat de carte à puce, mais avec son nom d'utilisateur et son mot de passe, il n'est pas non plus membre du groupe de sécurité.

Ci-dessous, nous décrivons comment générer un modèle de certificat à utiliser avec l'assurance du mécanisme d'authentification.

Continuer la lecture de « Konfigurieren einer Zertifikatvorlage für Authentication Mechanism Assurance (AMA) »

Modèles de certificats de contrôleur de domaine et inscription par carte à puce

Pour que les contrôleurs de domaine puissent traiter les inscriptions par carte à puce, ils ont besoin de certificats qui fournissent cette fonction.

Continuer la lecture de « Domänencontroller-Zertifikatvorlagen und Smartcard Anmeldung »

(Ré)installation des modèles de certificats Microsoft Standard

Il peut y avoir des cas où il est nécessaire d'installer les modèles de certificats Microsoft standard avant d'installer la première autorité de certification intégrée à Active Directory (Enterprise Certification Authority) ou de réinstaller les modèles, par exemple parce qu'ils ont été endommagés ou modifiés d'une autre manière.

Continuer la lecture de « (Neu-) Installieren der Microsoft Standard Zertifikatvorlagen »

La page web d'administration du Network Device Enrollment Service (NDES) (certsrv/mscep_admin) signale "You do not have sufficient permission to enroll with SCEP. Veuillez contacter votre administrateur système".

Supposons le scénario suivant :

  • Un serveur NDES est configuré sur le réseau.
  • Lors de l'appel de la page web d'administration (certsrv/mscep_admin), le message suivant apparaît :
You do not have sufficient permission to enroll with SCEP. Please contact your system administrator. 
Continuer la lecture de « Die Network Device Enrollment Service (NDES) Administrations-Webseite (certsrv/mscep_admin) meldet „You do not have sufficient permission to enroll with SCEP. Please contact your system administrator.“ »

Configurer un modèle de périphérique pour le service d'enregistrement des périphériques réseau (NDES)

Par défaut, le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) demande des certificats à partir du modèle "IPsec (Offline Request)". Ce modèle de certificat date de l'époque de Windows 2000 et ne peut pas être modifié. C'est pourquoi il est recommandé de modifier les paramètres par défaut et d'utiliser ses propres modèles de certificats, qui répondent aux exigences personnelles.

Continuer la lecture de « Gerätevorlage für den Registrierungsdienst für Netzwerkgeräte (NDES) konfigurieren »

Utiliser ses propres modèles de certificats d'autorité d'enregistrement (RA) pour le service d'enregistrement des périphériques réseau (NDES)

Le service d'inscription des périphériques réseau (Network Device Enrollment Service, NDES) utilise deux modèles de certificats pour sa fonction interne afin de fonctionner comme une autorité d'inscription (Registration Authority, RA). Ceux-ci sont publiés sur l'autorité de certification configurée pendant la configuration des rôles du service NDES et des certificats sont demandés :

  • CEP Encryption
  • Agent d'inscription Exchange (demande hors ligne)

Ces modèles de certificats sont des modèles standard issus du monde Windows 2000 (modèles de la version 1), c'est-à-dire qu'ils ne peuvent pas être modifiés. De plus, le modèle Exchange Enrollment Agent (Offline Request) est marqué comme modèle utilisateur, c'est-à-dire que pendant la configuration des rôles NDES, le certificat est demandé dans le contexte de l'utilisateur qui l'installe et est ensuite importé dans le magasin de la machine. Les choses se compliquent ici au plus tard lorsque les certificats doivent être renouvelés au bout de deux ans.

Il est donc préférable d'utiliser ses propres modèles de certificats pour NDES. Ceux-ci peuvent par exemple être adaptés en ce qui concerne la longueur de la clé. Il est également possible d'utiliser des modules de sécurité matériels (HSM) de cette manière. Il est même possible de configurer un renouvellement automatique.

Continuer la lecture de « Eigene Registration Authority (RA) Zertifikatvorlagen für den Registrierungsdienst für Netzwerkgeräte (NDES) verwenden »

Quelles conditions doivent être remplies du côté de l'infrastructure pour que les inscriptions par carte à puce soient possibles ?

Pour qu'une inscription par carte à puce réussisse, certaines conditions doivent être remplies dans l'environnement Active Directory :

Continuer la lecture de « Welche Voraussetzungen müssen auf Infrastruktur-Seite erfüllt sein, damit Smartcard-Anmeldungen möglich sind? »

Description du drapeau EDITF_ADDOLDKEYUSAGE

Lorsque l'on installe une autorité de certification subordonnée, il se peut que l'on se heurte au comportement suivant :

  • On demande une extension Key Usage qui est par exemple marquée comme critique ou qui ne contient pas DigitalSignature.
  • Cependant, le certificat délivré par l'autorité de certification parente contient DigitalSignature et l'extension Key Usage est marquée comme non critique.
  • L'autorité de certification supérieure est une autorité de certification autonome, c'est-à-dire sans intégration Active Directory.
Continuer la lecture de « Beschreibung des Flags EDITF_ADDOLDKEYUSAGE »

Quel est le degré de sécurité du paramètre "Allow private key to be exported" dans les modèles de certificats ?

Les administrateurs PKI partent souvent du principe que l'option dans le modèle de certificat , de ne pas autoriser l'exportation de la clé privée, est obligatoire.

Continuer la lecture de « Wie sicher ist die Einstellung „Allow private key to be exported“ in den Zertifikatvorlagen? »

Aperçu des différentes générations de certificats de contrôleur de domaine

Au fil des générations de systèmes d'exploitation Windows, différents modèles de certificats ont été établis pour les contrôleurs de domaine. Dans un service d'annuaire Active Directory actuel, on trouvera trois modèles différents à cette fin.

  • Contrôleur de domaine
  • Authentification du contrôleur de domaine
  • Authentification Kerberos

Vous trouverez ci-dessous une description de chaque modèle et une recommandation pour la configuration des modèles de certificats de contrôleur de domaine.

Continuer la lecture de « Übersicht über die verschiedenen Generationen von Domänencontroller-Zertifikaten »

Le répondeur en ligne (OCSP) demande de nouveaux certificats de signature toutes les quatre heures

Supposons le scénario suivant :

  • Les répondeurs en ligne sont configurés pour demander des certificats de signature à partir d'un modèle de certificat d'une autorité de certification intégrée à Active Directory.
  • Les répondeurs en ligne demandent un nouveau certificat de signature à intervalles réguliers (toutes les quatre heures), bien que le certificat existant soit encore valable suffisamment longtemps.
Continuer la lecture de « Der Onlineresponder (OCSP) beantragt alle vier Stunden neue Signaturzertifikate »

Requêtes avancées par rapport à la base de données des autorités de certification

La base de données des autorités de certification stocke une grande partie des informations sur les activités d'une autorité de certification. Elle contient entre autres des informations sur

  • Certificats délivrés
  • Certificats révoqués
  • Listes de blocage publiées
  • Demandes de certificats en attente
  • Demandes de certificats refusées
  • Échec de la demande de certificat

La consultation du contenu de la base de données de l'autorité de certification se fait généralement via la console de gestion de l'autorité de certification (certsrv.msc), mais les possibilités d'évaluation et surtout de traitement automatique sont très limitées.

Continuer la lecture de « Erweiterte Abfragen gegen die Zertifizierungsstellen-Datenbank »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais