Microsoft Outlook : „ Ce message ne peut être ni crypté ni signé par Microsoft Outlook, car aucun certificat n'est disponible pour l'envoi de messages à partir de l'adresse e-mail [...]. “

Supposons le scénario suivant :

  • Un utilisateur souhaite envoyer un e-mail signé.
  • L'opération échoue avec le message d'erreur suivant :
Diese Nachricht kann von Microsoft Outlook weder verschlüsselt noch signiert werden, da keine Zertifikate für das Senden von Nachrichten von der E-Mail Adresse "rudi.ratlos@adcslabor.de" vorhanden sind. Fordern Sie entweder eine neue digitale ID für dieses Konto an, oder verwenden Sie die Schaltfläche "Konten", um die Nachricht mithilfe eines Kontos zu senden, für das Sie Zertifikate besitzen.
Continuer la lecture de « Microsoft Outlook: „Diese Nachricht kann von Microsoft Outlook weder verschlüsselt noch signiert werden, da keine Zertifikate für das Senden von Nachrichten von der E-Mail Adresse […] vorhanden sind.“ »

Le service d'autorité de certification ne démarre pas et affiche le message d'erreur „ Provider DLL failed to initialize correctly. 0x8009001d (-2146893795 NTE_PROVIDER_DLL_FAIL). “

Supposons le scénario suivant :

  • Une autorité de certification est mise en œuvre sur le réseau.
  • Le service d'autorité de certification ne démarre pas
  • Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :
Provider DLL failed to initialize correctly. 0x8009001d (-2146893795 NTE_PROVIDER_DLL_FAIL).
Continuer la lecture de « Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „Provider DLL failed to initialize correctly. 0x8009001d (-2146893795 NTE_PROVIDER_DLL_FAIL).“ »

L'extension de certificat "Application Policies

Les extensions de certificat „ Key Usage “ et „ Extended Key Usage “ permettent de contrôler les fins auxquelles un certificat numérique peut être utilisé.

Dans l'extension de certificat „ Extended Key Usage “, les des utilisations de clés étendues pour lesquels le certificat peut être utilisé.

Il existe toutefois, pour les certificats émis par une autorité de certification Microsoft, une autre extension de certificat appelée "Application Policies" (en anglais : "Politiques d'application"), qui contient également une liste très similaire à l'extension Extended Key Usages.

Continuer la lecture de « Die „Application Policies“ Zertifikaterweiterung »

De nouveaux certificats sont régulièrement demandés via l'auto-inscription.

Supposons le scénario suivant :

  • Un modèle de certificat est configuré pour la demande et l'émission automatiques (AutoEnrollment).
  • Les utilisateurs ou les ordinateurs demandent régulièrement de nouveaux certificats, bien avant la période de renouvellement définie.
Continuer la lecture de « Es werden regelmäßig neue Zertifikate über Autoenrollment beantragt »

L'algorithme de la clé des demandes de certificat n'est pas vérifié par le module Policy de l'autorité de certification.

Supposons le scénario suivant :

  • Un modèle de certificat est configuré pour l'utilisation de clés basées sur des courbes elliptiques (par exemple ECDSA_P256).
  • En conséquence, une longueur de clé minimale de 256 bits est configurée.
  • Les demandes de certificats qui utilisent d'autres courbes ECC ou des clés basées sur RSA sont néanmoins également signées.
Continuer la lecture de « Der Schlüsselalgorithmus von Zertifikatanforderungen wird vom Policy Modul der Zertifizierungsstelle nicht überprüft »

Installation de SignTool sans installation du kit de développement logiciel (SDK) Windows

Une possibilité pour réaliser des signatures de code consiste à utiliser l'outil de ligne de commande SignTool. Celui-ci fait partie du kit de développement logiciel (SDK) Windows 10.

Si vous souhaitez utiliser l'outil sur un système sans avoir à installer Visual Studio ou le SDK Windows, procédez comme suit.

Continuer la lecture de « SignTool Installation ohne Installation des Windows Software Development Kit (SDK) »

Signature de code pour les fichiers de script PowerShell

Vous trouverez ci-dessous une description des options disponibles pour l'exécution des fichiers de script PowerShell et des possibilités offertes par leur signature.

Continuer la lecture de « Codesignatur für PowerShell Scriptdateien »

La demande de certificat échoue avec le message d'erreur „ La demande n'est pas prise en charge. 0x80070032 (WIN32 : 50 ERROR_NOT_SUPPORTED) “.“

Supposons le scénario suivant :

  • Un certificat est demandé auprès d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • La demande échoue avec le message d'erreur suivant :
An error occurred while enrolling for a certificate.
The certificate request could not be submitted to the certification authority.
Url: CA02.intra.adcslabor.de\ADCS Labor Issuing CA 1
Error: The request is not supported. 0x80070032 (WIN32: 50 ERROR_NOT_SUPPORTED)
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „The request is not supported. 0x80070032 (WIN32: 50 ERROR_NOT_SUPPORTED)“ »

La configuration des rôles pour le Certificate Enrollment Web Service (CES) échoue avec le message d'erreur "Access is denied. 0x80070005 (WIN32 : 5 ERROR_ACCESS_DENIED)".

Supposons le scénario suivant :

  • Une configuration des rôles est effectuée pour le service Web d'inscription de certificats (CES).
  • La configuration des rôles échoue avec le message d'erreur suivant : 
CCertificateEnrollmenServerSetup::InitializeInstallDefaults: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
Continuer la lecture de « Die Rollenkonfiguration für den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlermeldung „Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)“ »

La configuration des rôles pour le service Web d'inscription de certificats (CES) échoue avec le message d'erreur „ Le serveur RPC n'est pas disponible. 0x800706ba (WIN32 : 1722 RPC_S_SERVER_UNAVAILABLE “

Supposons le scénario suivant :

  • Une configuration des rôles est effectuée pour le service Web d'inscription de certificats (CES).
  • La configuration des rôles échoue avec le message d'erreur suivant : 
The Certificate Enrollment Web Service Setup failed because the CA "CA02.intra.adcslabor.de\ADCS Labor Issuing CA 1" cannot  be contacted. Check the name, and confirm that the CA is properly configured and available. The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
Continuer la lecture de « Die Rollenkonfiguration für den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlermeldung „The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE“ »

Renouvellement automatique des certificats demandés manuellement sans intervention d'un gestionnaire de certificats

Supposons qu'un cas d'utilisation soit mis en place pour les certificats dans lesquels les utilisateurs indiquent l'identité contenue dans le certificat dans la demande de certificat, ce qui nécessite une intervention manuelle de la part des gestionnaires de certificats. La question se pose alors de savoir comment procéder à l'expiration des certificats ou au transfert du modèle de certificat vers une autre autorité de certification afin de réduire au minimum les tickets au service d'assistance et donc la charge de travail pour les gestionnaires de certificats.

Continuer la lecture de « Automatische Erneuerung manuell beantragter Zertifikate ohne Eingriff eines Zertifikatmanagers »

Microsoft Outlook : les e-mails cryptés avec S/MIME ne peuvent pas être ouverts. Le message d'erreur „ Erreur interne “ s'affiche.“

Supposons le scénario suivant :

  • Un utilisateur reçoit un message électronique crypté avec Secure/Multipurpose Internet Mail Extensions (S/MIME).
  • Le message ne peut pas être ouvert.
  • Le message d'erreur suivant s'affiche à l'ouverture du message :
Leider besteht ein Problem beim Öffnen dieses Elements. Dies kann vorübergehend sein. Wenn dieser Fehler erneut auftritt, sollten Sie Outlook neu starten. Fehler im zugrunde liegenden Sicherheitssystem. Interner Fehler.
Continuer la lecture de « Microsoft Outlook: Mit S/MIME verschlüsselte E-Mails können nicht geöffnet werden. Es erscheint die Fehlermeldung „Interner Fehler.“ »

S/MIME avec l'application Outlook pour Apple IOS et Android possible uniquement avec les appareils gérés via Intune

Si vous souhaitez mettre des certificats S/MIME à la disposition de vos utilisateurs sur leur smartphone, vous serez peut-être surpris de constater que cela n'est pas possible avec l'application Outlook si vous n'utilisez pas également Microsoft Intune comme solution de gestion pour les appareils.

Microsoft a publié un article intitulé „Étiquetage et protection sensibles dans Outlook pour iOS et Android“ Il est désormais clair que cela est dû à l'architecture du système concerné.

Continuer la lecture de « S/MIME mit der Outlook App für Apple IOS und Android nur mit über Intune verwalteten Geräten möglich »

De zéro à administrateur d'entreprise grâce au service d'enregistrement des périphériques réseau (NDES) – et comment y remédier

Je voudrais présenter ci-après une configuration PKI extrêmement dangereuse, qui n'est peut-être pas forcément connue du grand public, mais qui est probablement très courante dans les réseaux d'entreprise.

Je montre comment, en exploitant diverses circonstances malheureuses dans l'infrastructure PKI Windows, il est possible d'obtenir une augmentation des droits, allant du simple accès au réseau à la prise de contrôle totale de l'Active Directory.

Dans cet exemple, le point d'attaque initial est le service d'enregistrement des périphériques réseau (NDES).

Continuer la lecture de « Von Null auf Enterprise Administrator durch den Registrierungsdienst für Netzwerkgeräte (NDES) – und was dagegen getan werden kann »

Que signifie l'option „Enable Certificate Privacy“ lors de l'exportation de certificats ?

Avec Windows Server 2016 et Windows 10, une nouvelle option „ Enable Certificate Privacy “ (Activer la confidentialité des certificats) a été mise en place pour l'exportation de certificats avec clé privée via la console MMC (Microsoft Management Console).

Lors de l'exportation de certificats avec clé privée, le certificat est exporté dans un fichier PKCS#12 (.PFX).

Continuer la lecture de « Was bedeutet die Option „Enable Certificate Privacy“ beim Zertifikatexport? »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais