La configuration des rôles pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le message d'erreur „Failed to Enroll RA certificates. Le modèle de certificat demandé n'est pas supporté par cette CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)“

Supposons le scénario suivant :

  • On installe un serveur NDES (Network Device Enrollment Service)
  • On dispose des autorisations nécessaires pour installer le rôle (administrateur local, administrateur d'entreprise).
  • La configuration des rôles échoue avec le message d'erreur suivant : 
Failed to Enroll RA certificates. The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)
Continuer la lecture de « Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung „Failed to Enroll RA certificates. The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)“ »

Analyser les problèmes de réseau avec Wireshark sans devoir installer de logiciel sur des systèmes de production

Il est souvent possible de trouver des problèmes d'infrastructure de clé publique dans le réseau sous-jacent - par exemple lorsqu'il manque une règle de pare-feu dans le réseau.

Il est donc utile d'être en mesure d'enregistrer le trafic réseau afin de pouvoir l'analyser. Il existe pour cela d'excellents outils comme Wireshark, Les systèmes d'exploitation des entreprises peuvent être installés sur des ordinateurs, mais ils nécessitent une installation sur le système concerné, ce qui ne peut et ne doit pas être fait facilement sur un système de production.

Heureusement, le système d'exploitation Windows Server possède un mécanisme intégré permettant d'enregistrer les paquets réseau. Les fichiers qui en résultent ne sont toutefois pas compatibles avec Wireshark. L'outil propre à Microsoft, Message Analyzer, a été retiré le 25.11.2019 et les liens de téléchargement supprimés.

C'est pourquoi nous décrivons ci-après comment générer un tel enregistrement et le convertir ensuite dans un format compatible avec Wireshark, afin de pouvoir analyser l'enregistrement à distance du serveur concerné.

Continuer la lecture de « Netzwerkprobleme mit Wireshark analysieren, ohne Software auf produktiven Systemen installieren zu müssen »

Le nom d'affichage d'un modèle de certificat n'est pas résolu. Seul l'identifiant d'objet (OID) du modèle de certificat est affiché.

Supposons le scénario suivant :

  • Pour un modèle de certificat, seul l'identificateur d'objet (Object Identifier) est affiché, mais pas le nom d'affichage et/ou
  • Les requêtes sur la base de données des autorités de certification contiennent uniquement l'identifiant de l'objet pour le modèle de certificat (champ „CertificateTemplate“), mais pas le nom d'affichage.
Continuer la lecture de « Der Anzeigename einer Zertifikatvorlage wird nicht aufgelöst. Es wird nur der Objektidentifizierer (OID) der Zertifikatvorlage angezeigt. »

Y a-t-il une dépendance du service d'enregistrement des périphériques réseau (NDES) avec l'objet NTAuthCertificates ?

Le service d'enregistrement des appareils en réseau (NDES) dispose de deux Autorité d'enregistrement Les certificats. Avec le certificat d'agent d'inscription, les demandes de certificat sont signées et on peut Configurer le modèle d'appareil NDES de manière à ce que les certificats ne soient délivrés que si les demandes de certificats soumises comportent une signature correspondante..

Si l'on prévoit de faire appel à l'autorité de certification associée au NDES supprimer de l'objet NTAuthCertificates, La question se pose de savoir s'il faut tenir compte de l'interdépendance - après tout, le fait d'avoir des enfants ne signifie pas qu'ils n'en ont pas besoin. Enroll on Behalf Of (EOBO) (inscription à l'appui) la présence du certificat d'autorité de certification dans NTAuthCertificates.

Continuer la lecture de « Gibt es eine Abhängigkeit des Registrierungsdienstes für Netzwerkgeräte (NDES) mit dem NTAuthCertificates Objekt? »

L'installation d'une autorité de certification échoue avec le code d'erreur „Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA)“.“

Supposons le scénario suivant :

  • Tentative d'installation d'une autorité de certification
  • La configuration des rôles échoue avec le message d'erreur suivant :
An error occurred when creating the new key container "ADCS Labor Issuing CA 3". Please make sure the CSP is installed correctly or select another CSP.
Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA).
Continuer la lecture de « Die Installation einer Zertifizierungsstelle schlägt fehl mit Fehlercode „Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA).“ »

Le contrôle de blocage via le répondeur en ligne (OCSP) échoue avec le code d'erreur HTTP 404 (HTTP_E_STATUS_NOT_FOUND)

Supposons le scénario suivant :

Continuer la lecture de « Die Sperrprüfung über den Onlineresponder (OCSP) schlägt fehl mit HTTP Fehlercode 404 (HTTP_E_STATUS_NOT_FOUND) »

L'installation d'une autorité de certification intégrée à Active Directory à l'aide de Windows PowerShell échoue avec le message d'erreur „A value for the attribute was not in the acceptable range of values. 0x80072082 (WIN32 : 8322 ERROR_DS_RANGE_CONSTRAINT)“.“

Supposons le scénario suivant :

  • Une autorité de certification (Enterprise CA) intégrée dans Active Directory est installée à l'aide de Windows PowerShell (Install-AdcsCertificationAuthority).
  • La configuration des rôles échoue avec le message d'erreur suivant :
Install-AdcsCertificationAuthority : Active Directory Certificate Services setup failed with the following error: A value for the attribute was not in the acceptable range of values. 0x80072082 (WIN32: 8322 ERROR_DS_RANGE_CONSTRAINT)
Continuer la lecture de « Die Installation einer ins Active Directory integrierten Zertifizierungsstelle mittels Windows PowerShell schlägt fehl mit Fehlermeldung „A value for the attribute was not in the acceptable range of values. 0x80072082 (WIN32: 8322 ERROR_DS_RANGE_CONSTRAINT)“ »

Aperçu des événements Active Directory pertinents pour la PKI

Voici un aperçu des événements générés sur les contrôleurs de domaine dans l'Observateur d'événements de Windows qui sont pertinents pour l'infrastructure de clés publiques.

Continuer la lecture de « Übersicht über die für die PKI relevanten Active Directory Ereignisse »

forcer les contrôleurs de domaine (ou autres participants) à utiliser un répondeur en ligne (OCSP)

Par défaut, les systèmes Windows, même si un répondeur en ligne (OCSP) est configuré, sont envoyés à l'adresse suivante d'un certain nombre de requêtes OCSP de retomber sur une liste de blocage (si elle existe), car cela est généralement plus efficace dans un tel cas. Mais ce comportement n'est pas toujours souhaité.

Par exemple, si vous utilisez des inscriptions par carte à puce, vous voudrez peut-être savoir si des inscriptions ont été effectuées avec des certificats délivrés sans autorisation. En relation avec le déterministe Good du répondeur en ligne il est possible d'établir un rapport (presque) complet Chemin d'audit pour toutes les inscriptions par carte à puce.

Continuer la lecture de « Domänencontroller (oder andere Teilnehmer) zwingen, einen Onlineresponder (OCSP) zu verwenden »

Configurer le „Magic Number“ pour le répondeur en ligne

Même si un répondeur en ligne est présent sur le réseau et que les autorités de certification ont inscrit son adresse dans l'extension Authority Information Access (AIA) des certificats délivrés, il n'est pas toujours garanti que le répondeur en ligne soit effectivement utilisé.

Le „Magic Number“, présent sur chaque système d'exploitation Windows, est une variable d'ajustement. Il a pour effet que le système se replie sur les listes de blocage (si elles existent) si trop de demandes sont faites par OCSP pour la même autorité de certification.

Continuer la lecture de « Die „Magic Number“ für den Onlineresponder konfigurieren »

Aperçu des événements d'audit générés par le répondeur en ligne (OCSP)

Voici un aperçu des événements d'audit générés par le répondeur en ligne dans l'Observateur d'événements de Windows.

Contrairement aux événements d'exploitation, qui sont souvent compris sous le terme de „monitoring“, l'audit pour l'autorité de certification est la configuration de la journalisation des événements liés à la sécurité.

Continuer la lecture de « Übersicht über die vom Onlineresponder (OCSP) generierten Audit-Ereignisse »

Configurer le "bon" déterministe pour le répondeur en ligne (OCSP)

Dans la configuration standard, le répondeur en ligne renvoie le statut „Good“ pour les certificats demandés qui n'apparaissent pas sur l'une des listes de révocation configurées.

Cela peut poser problème, car le répondeur en ligne n'a pas connaissance des certificats émis par les autorités de certification. Si un attaquant parvenait à émettre un certificat à l'aide de la clé privée de l'autorité de certification sans en avoir connaissance, cela ne serait pas détecté par le répondeur en ligne et ne serait pas non plus pris en compte dans le système. Protocole d'audit apparaissent comme „Good“.

Continuer la lecture de « Deterministisches „Good“ für den Onlineresponder (OCSP) konfigurieren »

Le service d'autorité de certification ne démarre pas et affiche le message d'erreur „The device that is required by this cryptographic provider is not ready for use. 0x80090030 (-2146893776 NTE_DEVICE_NOT_READY)“.“

Supposons le scénario suivant :

  • Une autorité de certification est mise en œuvre sur le réseau.
  • Le service d'autorité de certification ne démarre pas
  • Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :
The device that is required by this cryptographic provider is not ready for use. 0x80090030 (-2146893776 NTE_DEVICE_NOT_READY)
Continuer la lecture de « Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „The device that is required by this cryptographic provider is not ready for use. 0x80090030 (-2146893776 NTE_DEVICE_NOT_READY)“ »

Détails de l'événement avec ID 5127 de la source Microsoft Windows Security Auditing

Source de l'événement :Audit de sécurité de Microsoft Windows
ID de l'événement :5127 (0x1407)
Journal des événements :Sécurité
Type d'événement :Information
Texte de l'événement (en anglais) :Le fournisseur de révocation OCSP a mis à jour avec succès les informations de révocation. CA Configuration ID : %1 Base CRL Number : %2 Base CRL This Update : %3 Base CRL Hash : %4 Delta CRL Number : %5 Delta CRL Indicator : %6 Delta CRL This Update : %7 Delta CRL Hash : %8
Texte de l'événement (en allemand) :Le service de réponse de l'OCSP a mis à jour avec succès les informations de verrouillage. ID de configuration de l'autorité de certification : %1 Numéro de liste de blocage de base : %2 Liste de blocage de base, cette mise à jour : %3 Hachage de la liste de blocage de base : %4 Numéro de liste de blocage delta : %5 Affichage de la liste de blocage delta : %6 Liste de blocage delta, cette mise à jour : %7 Hachage de la liste de blocage delta : %8
Continuer la lecture de « Details zum Ereignis mit ID 5127 der Quelle Microsoft-Windows-Security-Auditing »

Détails de l'événement avec ID 5126 de la source Microsoft Windows Security Auditing

Source de l'événement :Audit de sécurité de Microsoft Windows
ID de l'événement :5126 (0x1406)
Journal des événements :Sécurité
Type d'événement :Information
Texte de l'événement (en anglais) :Le certificat de signature a été automatiquement mis à jour par le service répondeur de l'OCSP. ID de configuration CA : %1 Nouveau hachage du certificat de signature : %2
Texte de l'événement (en allemand) :Le certificat de signature a été automatiquement mis à jour par le service de réponse OCSP. ID de configuration de l'autorité de certification : %1 Nouveau hachage du certificat de signature : %2
Continuer la lecture de « Details zum Ereignis mit ID 5126 der Quelle Microsoft-Windows-Security-Auditing »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais