Les réponses OCSP d'un répondeur OCSP Microsoft sont valables aussi longtemps que la liste de révocation sous-jacente. Dans certains cas, il peut être souhaitable de réduire la durée de validité des OCSP en utilisant des CRL delta. Dans le même temps, aucune CRL delta ne doit être utilisée pour les listes de révocation enregistrées dans les chemins CDP afin de permettre un repli vers une CRL valable plus longtemps.
Continuer la lecture de « Kombination Onlineresponder (OCSP) mit Delta CRL und Sperrlistenverteilpunkt (CDP) ohne Deltasperrliste für gesteigerte Resilienz »Impact de la défaillance du répondeur en ligne (OCSP) sur la vérification du statut de révocation d'un certificat
Nous allons maintenant examiner comment se comporte la vérification du statut de blocage en cas de défaillance du répondeur en ligne. Selon la configuration des certificats délivrés, le comportement peut varier considérablement.
Continuer la lecture de « Auswirkungen des Ausfalls des Onlineresponders (OCSP) auf die Überprüfung des Sperrstatus eines Zertifikats »Comment est formé le numéro de série d'un certificat ?
Vous trouverez ci-dessous une explication sur la manière dont sont générés les numéros de série des certificats délivrés et sur la manière dont le comportement des autorités de certification peut être adapté.
Effectuer un test de fonctionnement pour le service d'enregistrement des périphériques réseau (NDES)
Après l'installation d'un service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) ou après des travaux de maintenance importants, il convient de procéder à un test fonctionnel approfondi afin de s'assurer que tous les composants fonctionnent comme prévu.
Continuer la lecture de « Funktionstest durchführen für den Registrierungsdienst für Netzwerkgeräte (NDES) »Configurer le Network Device Enrollment Service (NDES) pour l'utiliser avec un alias
Les étapes suivantes décrivent comment configurer le service d'inscription des périphériques réseau (NDES) pour une utilisation avec un alias.
Le terme « alias » signifie que le service n'est pas appelé avec le nom du serveur sur lequel il est installé, mais avec un nom générique indépendant de celui-ci. L'utilisation d'un alias permet de transférer le service vers un autre système à une date ultérieure sans avoir à communiquer la nouvelle adresse à tous les participants.
Continuer la lecture de « Den Network Device Enrollment Service (NDES) für die Verwendung mit einem Alias konfigurieren »Configuration de l'autorité de certification sur un port statique (point de terminaison RPC)
Dans la configuration standard, l'interface de demande de certificat de l'autorité de certification est configurée pour négocier des ports dynamiques pour les connexions RPC/DCOM entrantes (pour plus de détails, voir l'article „Règles de pare-feu requises pour Active Directory Certificate Services„ ).
| Protocole réseau | Port de destination | Protocole |
|---|---|---|
| TCP | 135 | Mappeur de points d'accès RPC |
| TCP | 49152-65535 | Ports dynamiques RPC |
Cette configuration n'est pas réalisable dans tous les environnements d'entreprise. Souvent, il existe des règles de pare-feu restrictives qui n'autorisent pas l'utilisation de ports réseau dynamiques.
Dans un tel cas, l'autorité de certification doit être configurée sur un port statique.
Continuer la lecture de « Konfigurieren der Zertifizierungsstelle auf einen statischen Port (RPC-Endpunkt) »Interrogation des points de terminaison RPC configurés d'une autorité de certification
Dans la configuration standard, l'interface de demande de certificat de l'autorité de certification est configurée pour négocier des ports dynamiques pour les connexions RPC/DCOM entrantes (pour plus de détails, voir l'article „Règles de pare-feu requises pour Active Directory Certificate Services„ ).
Il est toutefois également possible de configurer l'autorité de certification sur un port statique (voir l'article „Configuration de l'autorité de certification sur un port statique (point de terminaison RPC)„ ).
La procédure suivante décrit comment vérifier la configuration actuelle de l'autorité de certification.
Continuer la lecture de « Abfrage der konfigurierten RPC-Endpunkte einer Zertifizierungsstelle »Classification des composants ADCS dans le modèle hiérarchique administratif (Administrative Tiering Model)
Si, outre les services de certificats Active Directory, on implémente également le modèle de stratification administrative (Administrative Tiering Model) pour le service d'annuaire Active Directory, la question se pose alors de l'affectation des différents composants PKI dans ce modèle afin de pouvoir procéder à un renforcement ciblé de la sécurité.
Continuer la lecture de « Einordnung der ADCS-Komponenten in das administrative Schichtenmodell (Administrative Tiering Model) »Attribuer manuellement un certificat Remote Desktop (RDP)
Si un Certificat Remote Desktop demandé manuellement, il doit ensuite être attribué à l'hôte de session Bureau à distance.
Continuer la lecture de « Manuelles Zuweisen eines Remotedesktop (RDP) Zertifikats »Demande manuelle d'un certificat Remote Desktop (RDP)
Il existe des cas où il n'est pas possible ou souhaitable d'obtenir des certificats de bureau à distance auprès d'une autorité de certification dans sa propre structure Active Directory, par exemple lorsque le système concerné n'est pas membre du domaine.
Dans ce cas, l'utilisation de modèles de certificat n'est pas possible et il faut créer manuellement une demande de certificat (Certificate Signing Request, CSR).
Continuer la lecture de « Manuelle Beantragung eines Remotedesktop (RDP) Zertifikats »La création d'une demande manuelle de certificat échoue avec le message d'erreur "Expected INF file section name 0xe0000000".
Supposons le scénario suivant :
- Un fichier d'informations est créé pour une demande de certificat manuelle.
- La création de la demande de certificat à l'aide du fichier échoue avec le message d'erreur suivant :
Expected INF file section name 0xe0000000 (INF: -536870912)Continuer la lecture de « Die Erstellung einer manuellen Zertifikatanforderung schlägt fehl mit Fehlermeldung „Expected INF file section name 0xe0000000“ »
Envoyer une demande de certificat créée manuellement à une autorité de certification
Si une demande de certificat, par exemple après création manuelle, est disponible sous forme de fichier texte (généralement avec l'extension .CSR ou .REQ), celle-ci peut être envoyée à l'autorité de certification à l'aide des outils intégrés.
Continuer la lecture de « Eine manuell erstellte Zertifikatanforderung an eine Zertifizierungsstelle senden »La demande d'un certificat via le service Web d'inscription de certificats (CES) échoue avec le code d'erreur „ WS_E_ENDPOINT_FAULT_RECEIVED “.“
Supposons le scénario suivant :
- Un Certificate Enrollment Web Service (CES) est mis en œuvre sur le réseau.
- Une demande de certificat est envoyée au CES.
- La demande de certificat échoue avec le message d'erreur suivant :
A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)Continuer la lecture de « Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit dem Fehlercode „WS_E_ENDPOINT_FAULT_RECEIVED“ »
Chrome et Safari limitent les certificats SSL à un an de validité
Apple a récemment annoncé que le navigateur Safari n'acceptera désormais plus que les certificats d'une durée de validité de 398 jours, à condition qu'ils aient été émis à partir du 1er septembre 2020.
Mozilla et Google souhaitent implémenter un comportement similaire dans leurs navigateurs. La question se pose donc de savoir si cette modification aura des répercussions sur les autorités de certification internes, c'est-à-dire si, à l'avenir, les certificats SSL internes devront également respecter ces règles, comme c'est le cas par exemple pour l'application du RFC 2818 comme cela a été le cas avec Google.
Continuer la lecture de « Chrome und Safari limitieren SSL Zertifikate auf ein Jahr Gültigkeit »Bibliographie et autres ressources sur les infrastructures à clé publique et les services de certificats Active Directory
Vous trouverez ci-dessous un aperçu de la littérature disponible sur le marché concernant les infrastructures à clés publiques et les services de certificats Active Directory, ainsi que des ressources en ligne de Microsoft et d'autres spécialistes PKI.
Continuer la lecture de « Literatur und weitere Ressourcen über Public Key Infrastrukturen und Active Directory Certificate Services »
Français 
Deutsch 
English