Réaliser un test de fonctionnement pour un organisme de certification

Après l'installation d'une autorité de certification, après la migration vers un nouveau serveur ou après des travaux de maintenance importants, un test fonctionnel complet doit être effectué afin de s'assurer que tous les composants de l'autorité de certification fonctionnent comme prévu.

Continuer la lecture de « Funktionstest durchführen für eine Zertifizierungsstelle »

Publication d'une liste de révocation de certificats (CRL) sur un point de distribution de listes de révocation (CDP) Active Directory

Il est parfois nécessaire qu'un certificat délivré par une autorité de certification soit retiré avant sa date d'expiration. Pour ce faire, une autorité de certification tient à jour une liste de révocation. Il s'agit d'un fichier signé avec une date d'expiration relativement courte, qui est utilisé en combinaison avec le certificat pour vérifier sa validité.

Dans certains cas (par exemple, dans le cas d'une autorité de certification hors ligne ou si des points de distribution de listes de révocation LDAP non conformes à la norme ont été configurés), la liste de révocation des certificats doit être publiée manuellement dans Active Directory.

Continuer la lecture de « Veröffentlichen einer Zertifikatsperrliste (CRL) auf einem Active Directory Sperrlistenverteilungspunkt (CDP) »

Création et publication d'une liste de révocation de certificats

Il est parfois nécessaire qu'un certificat délivré par une autorité de certification soit retiré avant sa date d'expiration. Pour ce faire, une autorité de certification tient à jour une liste de révocation. Il s'agit d'un fichier signé avec une date d'expiration relativement courte, qui est utilisé en combinaison avec le certificat pour vérifier sa validité.

Une fois qu'un certificat a été révoqué, une nouvelle liste de révocation doit être créée et publiée afin que les entités qui vérifient le statut de révocation soient informées de la révocation. La liste de révocation ayant une date d'expiration relativement courte, elle doit être réémise à intervalles réguliers, même si son contenu n'a pas changé.

Continuer la lecture de « Erstellen und Veröffentlichen einer Zertifikatsperrliste »

Révocation d'un certificat délivré

Il est parfois nécessaire qu'un certificat délivré par une autorité de certification soit retiré avant sa date d'expiration. Pour ce faire, une autorité de certification tient à jour une liste de révocation. Il s'agit d'un fichier signé avec une date d'expiration relativement courte, qui est utilisé en combinaison avec le certificat pour vérifier sa validité.

Lorsqu'un certificat est révoqué, son numéro de série est ajouté à la liste de révocation. Les entités qui vérifient la révocation d'un certificat le considèrent alors comme non valide.

Continuer la lecture de « Widerrufen eines ausgestellten Zertifikats »

Autorisations de sécurité Windows requises pour le service web d'enregistrement des certificats (CES)

Supposons que l'on implémente le modèle de hiérarchisation administrative Active Directory (Administrative Tiering Model) de Microsoft ou que l'on applique des mesures de renforcement comparables sur ses serveurs, cela a des répercussions sur les composants CES.

Continuer la lecture de « Benötigte Windows-Sicherheitsberechtigungen für den Zertifikatregistrierungs-Webdienst (CES) »

Configurer le service Web d'inscription aux certificats (CES) pour une utilisation avec un compte de service géré par le groupe (gMSA)

Pour des raisons de sécurité, il peut être judicieux d'utiliser le CES avec un compte de service géré par le groupe (gMSA) plutôt qu'avec un compte de domaine normal. Cette option offre l'avantage intéressant de modifier automatiquement le mot de passe du compte, ce qui évite d'avoir à effectuer cette opération manuellement, une étape qui est malheureusement trop souvent oubliée.

Continuer la lecture de « Den Certificate Enrollment Web Service (CES) für den Betrieb mit einem Group Managed Service Account (gMSA) konfigurieren »

Planification de la validité des certificats et de la période de renouvellement des certificats d'entité finaux avec auto-enrollment

Si l'auto-enrollment est utilisé, les participants demandent eux-mêmes des certificats et les renouvellent également de manière autonome.

En ce qui concerne la validité des certificats et la période de leur renouvellement automatique, il existe deux valeurs qui peuvent être configurées dans l'onglet „General“ d'un modèle de certificat :

  • Période de validité (Validity period) : Décrit la durée de validité totale du certificat délivré.
  • Période de renouvellement (Renewal period) : Décrit à partir de quelle fenêtre, considérée à rebours de la date d'expiration du certificat, le renouvellement automatique est tenté pour la première fois (par ex. 6 semaines avant l'expiration).
Continuer la lecture de « Planung von Zertifikat-Gültigkeit und Erneuerungs-Zeitraum von End-Entitäts-Zertifikaten mit Autoenrollment »

Les certificats de contrôleur de domaine ne contiennent pas le nom de domaine dans le Subject Alternative Name (SAN).

Supposons le scénario suivant :

  • Les certificats pour les contrôleurs de domaine sont émis par une autorité de certification intégrée à Active Directory (Enterprise CA).
  • Le modèle de certificat utilisé à cet effet a été créé par nos soins.
  • Les certificats émis contiennent uniquement le nom complet de l'ordinateur du contrôleur de domaine correspondant dans le champ Subject Alternative Name (SAN), mais pas le nom complet et le nom NETBIOS du domaine.
Continuer la lecture de « Zertifikate für Domänencontroller enthalten nicht den Domänennamen im Subject Alternative Name (SAN) »

La demande de certificat d'autorité de certification échoue avec le message d'erreur „The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)“.“

Supposons le scénario suivant :

  • Un certificat d'autorité de certification est demandé à une autorité de certification.
  • La demande de certificat échoue avec le message d'erreur suivant :
The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)
Denied by Policy Module
Continuer la lecture de « Die Beantragung eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung „The certification authority’s certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)“ »

Configurer la contrainte de longueur de chemin (Path Length Constraint) pour les certificats émis par une autorité de certification

Pour renforcer le contrôle sur les certificats pouvant être délivrés par une autorité de certification, il est possible de mettre en place une restriction de longueur de chemin (Path Length Constraint) afin que les autorités de certification situées au-dessus d'un certain niveau hiérarchique ne puissent plus délivrer de certificats d'autorité de certification subordonnés.

Pour une explication du fonctionnement de la limitation de la longueur du chemin, voir l'article „ Principes fondamentaux : contrainte de longueur de chemin (Path Length Constraint) “.

Continuer la lecture de « Einschränkung der Pfadlänge (Path Length Constraint) für von einer Zertifizierungsstelle ausgestellte Zertifikate konfigurieren »

Configurer un modèle de certificat pour les certificats Remote Desktop (RDP)

Pour utiliser des certificats de bureau à distance, il est nécessaire de configurer un modèle de certificat approprié.

Continuer la lecture de « Konfigurieren einer Zertifikatvorlage für Remotedesktop (RDP) Zertifikate »

Identification du certificat Remote Desktop (RDP) actif

Si l'on a une Modèle de certificat pour les certificats de bureau à distance et une Politique de groupe correspondante configuré, ou Attribuer manuellement un certificat de bureau à distance, il peut être utile de vérifier que les certificats sont correctement utilisés par l'hôte de session Bureau à distance sur les ordinateurs participants.

Continuer la lecture de « Identifizieren des aktiven Remotedesktop (RDP) Zertifikats »

Configuration d'une stratégie de groupe (GPO) pour les certificats RDP (Remote Desktop Protocol)

Une fois qu'un modèle de certificat a été configuré pour la distribution de certificats de bureau à distance (voir l'article „Configurer un modèle de certificat pour les certificats Remote Desktop (RDP)„), une stratégie de groupe est également nécessaire pour demander aux ordinateurs participants d'utiliser les certificats provenant du modèle.

Continuer la lecture de « Konfigurieren einer Gruppenrichtlinie (GPO) für Remotedesktop (RDP) Zertifikate »

Lorsqu'un certificat d'autorité de certification a été révoqué, aucune liste de révocation n'est plus émise pour ce certificat.

Supposons le scénario suivant :

  • Une autorité de certification dispose de plusieurs certificats d'autorité de certification.
  • Plusieurs certificats d'autorité de certification utilisent la même clé privée, par exemple parce que le certificat d'autorité de certification a été renouvelé avec la même paire de clés.
  • Si l'un de ces certificats d'autorité de certification est révoqué, l'autorité de certification ne délivrera plus de listes de révocation pour les autres certificats d'autorité de certification qui utilisent la même clé.
Continuer la lecture de « Wenn ein Zertifizierungsstellen-Zertifikat widerrufen wurde, wird keine Sperrliste mehr für das Zertifizierungsstellen-Zertifikat ausgestellt »

Restauration d'une autorité de certification à partir d'une sauvegarde (backup)

La procédure de restauration d'une autorité de certification à partir de la sauvegarde est décrite ci-dessous. Outre les situations de catastrophe, cette procédure fait également partie de la Migration d'une autorité de certification vers un nouveau serveur.

Continuer la lecture de « Wiederherstellung einer Zertifizierungsstelle aus der Sicherung (Backup) »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais