Problèmes de performance lors de l'audit des "Start and stop Active Directory Certificate Services

Lors de la configuration des paramètres d'audit d'une autorité de certification, on est tenté de sélectionner l'option „ Démarrer et arrêter les services de certificats Active Directory “. Cette option peut toutefois poser des problèmes dans certaines circonstances.

Continuer la lecture de « Performanceprobleme bei Auditierung von „Start and stop Active Directory Certificate Services“ »

Plus qu'un nom commun (Common Name, CN) dans le certificat

De nos jours, cela relève davantage de la curiosité que de la pratique, mais il arrive parfois que l'on reçoive des demandes de certificats contenant plus d'un nom commun (Common Name) dans l'objet (Subject). Même si cela peut paraître étonnant, cela est tout à fait possible et conforme à la norme RFC.

Continuer la lecture de « Mehr als ein gemeinsamer Name (Common Name, CN) im Zertifikat »

Le module SMTP Exit ne fonctionne pas sur Windows Server Core

Supposons le scénario suivant :

  • Un service de certification est installé sur Windows Server Core.
  • Le SMTP fourni avec l'autorité de certification est utilisé. Module de sortie configuré.
  • Cependant, l'organisme de certification n'envoie pas d'e-mails.
  • Dans le journal des événements, le Événement n° 46 avec le message d'erreur suivant :
The "Windows default" Exit Module "Initialize" method returned an error. Class not registered The returned status code is 0x80040154 (-2147221164). The Certification Authority was unable to initialize email messaging objects.
Continuer la lecture de « Das SMTP Exit Modul funktioniert nicht auf Windows Server Core »

Autoriser la demande d'une clé de signature spécifique auprès d'une autorité de certification

L'autorité de certification Microsoft signe toujours les certificats avec la clé associée au certificat d'autorité de certification le plus récent. Le certificat de signature pour une réponse OCSP doit être conforme à RFC 6960 mais être signés par la même clé que le certificat à vérifier :

L'autorité de certification DEVRAIT utiliser la même clé d'émission pour émettre un certificat de délégation que celle utilisée pour signer le certificat dont la révocation est vérifiée.

https://tools.ietf.org/html/rfc6960#section-4.2.2.2

Si le certificat de l'autorité de certification est renouvelé et qu'une nouvelle paire de clés est utilisée, il est toutefois nécessaire que le répondeur en ligne conserve les certificats de signature valides pour les certificats délivrés avec le certificat précédent de l'autorité de certification, car ceux-ci restent valides et doivent être vérifiés pour voir s'ils ont été bloqués.

Continuer la lecture de « Die Beantragung eines bestimmten Signaturschlüssels auf einer Zertifizierungsstelle erlauben »

La demande de certificat échoue avec le message d'erreur „ Le système ne trouve pas le fichier spécifié. 0x80070002 (WIN32 : 2 ERROR_FILE_NOT_FOUND) “.“

Supposons le scénario suivant :

  • Une demande de certificat est envoyée à une autorité de certification.
  • La demande de certificat échoue avec le message d'erreur suivant :
Error Parsing Request The system cannot find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „The system cannot find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)“ »

La demande de certificat échoue avec le message d'erreur „ Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA). “

Supposons le scénario suivant :

  • Un utilisateur envoie une demande de certificat à une autorité de certification.
  • La demande de certificat échoue avec le message d'erreur suivant :
Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA).
Denied by Policy Module.
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA).“ »

Matrice de migration Windows Server pour l'autorité de certification

Au plus tard lorsque le Fin du support du produit par le fabricant (Microsoft) approche, la question se pose de savoir comment et vers quel système d'exploitation une autorité de certification doit migrer.

Continuer la lecture de « Windows Server Migrations-Matrix für die Zertifizierungsstelle »

Migration d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) vers un autre serveur

Souvent, une autorité de certification a une durée de vie nettement plus longue que le serveur sur lequel elle a été installée. Les raisons pouvant justifier la migration de l'autorité de certification vers un nouveau serveur, c'est-à-dire en conservant les données, peuvent être les suivantes :

  • Défaut ou fin de vie du matériel serveur
  • Fin de vie du système d'exploitation du serveur
  • Modification du nom du serveur

La procédure de migration est décrite en détail ci-dessous.

Continuer la lecture de « Migration einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) auf einen anderen Server »

Fin du support du produit par le fabricant (Microsoft)

Chaque système d'exploitation Windows Server a une date de fin définie à partir de laquelle le fabricant ne fournit plus d'assistance pour le produit. Les autorités de certification sont également liées à cette date et doivent donc être migrées avant cette date.

Continuer la lecture de « Ende der Produkt-Unterstützung durch den Hersteller (Microsoft) »

Principes fondamentaux et analyse des risques Paramètres de délégation

La délégation est toujours nécessaire lorsqu'il existe un intermédiaire entre l'utilisateur et le service proprement dit. Dans le cas de l'enregistrement Web de l'autorité de certification, ce serait le cas si celui-ci était installé sur un serveur distinct. Il servirait alors d'intermédiaire entre le demandeur et l'autorité de certification.

Continuer la lecture de « Grundlagen und Risikobetrachtung Delegierungseinstellungen »

Effectuer un test fonctionnel pour le Certificate Enrollment Policy Web Service (CEP)

Après l'installation d'un serveur de stratégie d'enregistrement de certificats (Certificate Enrollment Policy Web Service, CEP) ou après des travaux de maintenance importants, il convient de procéder à un test fonctionnel approfondi afin de s'assurer que tous les composants fonctionnent comme prévu.

Continuer la lecture de « Funktionstest durchführen für den Certificate Enrollment Policy Web Service (CEP) »

Le service d'autorité de certification ne démarre pas et renvoie le message d'erreur "Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)".

Supposons le scénario suivant :

  • Une autorité de certification est mise en œuvre sur le réseau.
  • Le service d'autorité de certification ne démarre pas
  • Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :
Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)
Continuer la lecture de « Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)“ »

Configuration de la surveillance des événements de sécurité (paramètres d'audit) pour les autorités de certification

Contrairement aux événements d'exploitation, qui sont souvent compris sous le terme de „monitoring“, l'audit pour l'autorité de certification est la configuration de la journalisation des événements liés à la sécurité.

Continuer la lecture de « Konfiguration der Überwachung von Sicherheitsereignissen (Auditierungseinstellungen) für Zertifizierungsstellen »

Règles d'audit standard pour les systèmes d'exploitation Windows Server

Dès qu'une stratégie de groupe avec des paramètres d'audit est active, les règles d'audit standard préconfigurées avec le système d'exploitation sont désactivées et seuls les paramètres d'audit explicitement configurés sont appliqués.

Continuer la lecture de « Standard-Auditierungsregeln für Windows Server Betriebssysteme »

Vérification de la connexion à la clé privée d'un certificat (par exemple, lors de l'utilisation d'un module de sécurité matériel)

Pour un test de fonctionnement ou lors d'une recherche d'erreur, il peut être utile de vérifier si la clé privée d'un certificat est utilisable. Si la clé est par exemple sécurisée par un module de sécurité matériel (HSM), il y a nettement plus de dépendances et de possibilités d'erreurs que pour une clé logicielle.

Continuer la lecture de « Überprüfen der Verbindung zum privaten Schlüssel eines Zertifikate (z.B. bei Einsatz eines Hardware Security Moduls) »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais