Étiquette : certlm.msc

Lors de la restauration d'une autorité de certification, le certificat d'autorité de certification ne peut pas être sélectionné lors de l'installation des rôles.

Supposons le scénario suivant :

Continuer la lecture de « Bei der Wiederherstellung einer Zertifizierungsstelle ist das Zertifizierungsstellen-Zertifikat bei der Rollen-Installation nicht auswählbar »

Dépannage de la demande automatique de certificat (auto-enrollment) via RPC/DCOM (MS-WCCE)

Supposons le scénario suivant :

  • Es ist eine Zertifikatvorlage für die automatische Beantragung von Zertifikaten konfiguriert (Autoenrollment).
  • Die Zertifikatvorlage ist auf einer ins Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) veröffentlicht.
  • Die für die automatische Zertifikatbeantragung konfigurierten Benutzer oder Computer beantragen allerdings nicht wie vorgesehen Zertifikate.

Nachfolgend eine Anleitung zur Fehlersuche.

Continuer la lecture de « Fehlersuche für die automatische Zertifikatbeantragung (Autoenrollment) via RPC/DCOM (MS-WCCE) »

La demande d'un certificat via Enroll on Behalf of (EOBO) n'est pas possible car le modèle de certificat ne s'affiche pas. Le message d'erreur est le suivant : „The certificate template requires too many RA signatures“.“

Supposons le scénario suivant :

  • Un certificat est demandé pour un utilisateur ou un ordinateur auprès d'une autorité de certification via la console de gestion des certificats (certlm.msc ou certmgr.msc).
  • On utilise pour cela le Inscription à la demande de (EOBO) Mécanisme.
  • Le modèle de certificat souhaité ne s'affiche pas.
  • Si l'on coche la case „Show all templates“, le message d'erreur suivant s'affiche pour le modèle de certificat souhaité :
The certificate template requires too many RA signatures. Only one RA signature is allowed. Multiple request agent signatures are not permitted on a certificate request.
Continuer la lecture de « Die Beantragung eines Zertifikats über Enroll on Behalf of (EOBO) ist nicht möglich, da die Zertifikatvorlage nicht angezeigt wird. Die Fehlermeldung lautet „The certificate template requires too many RA signatures.“ »

Configuration de l'attestation de clé du module TPM (Trusted Platform Module)

Depuis Windows 8, c'est possible, que les clés privées des certificats soient protégées par un module de plate-forme de confiance (TPM), si celui-ci est disponible. De ce fait, la clé n'est pas exportable - même avec des outils comme mimikatz.

Au premier coup d'œil, il n'est toutefois pas évident de garantir l'utilisation d'un TPM. Il est vrai que pas de demande possible via la Microsoft Management Console ou AutoEnrollment si l'ordinateur ne dispose pas de TPM.

Toutefois, la configuration dans le modèle de certificat n'est qu'une configuration par défaut pour le client. L'autorité de certification, lorsqu'elle demande un certificat ne pas vérifier explicitement si un module Trusted Platform a vraiment été utilisé.

Pour s'assurer que la clé privée d'une demande de certificat a bien été protégée par un module Trusted Platform, il ne reste donc que l'attestation de clé TPM.

Continuer la lecture de « Konfigurieren der Trusted Platform Module (TPM) Key Attestation »

Demande manuelle d'un certificat de serveur web

Dans certains cas, il n'est pas possible ou souhaitable d'obtenir des certificats de serveur web directement auprès d'une autorité de certification de sa propre structure globale Active Directory via la Microsoft Management Console, par exemple lorsque le système concerné n'est pas membre du domaine.

Dans ce cas, il n'est pas possible d'utiliser des modèles de certificats et il faut créer manuellement une demande de certificat (Certificate Signing Request, CSR).

Continuer la lecture de « Manuelle Beantragung eines Webserver-Zertifikats »

La demande de certificat n'est pas possible, car le modèle de certificat ne s'affiche pas. Le message d'erreur est „Can not find a valid CSP in the local machine“.“

Supposons le scénario suivant :

  • Un certificat est demandé pour un utilisateur ou un ordinateur auprès d'une autorité de certification via la console de gestion des certificats (certlm.msc ou certmgr.msc).
  • Autoenrollment ne demande pas de certificat du modèle de certificat souhaité, bien qu'il soit activé et que les autorisations soient définies en conséquence.
  • Le modèle de certificat souhaité ne s'affiche pas lors d'une demande manuelle via la console de gestion Microsoft (MMC). Si l'on active la case à cocher „Show all templates“, le message d'erreur suivant s'affiche pour le modèle de certificat souhaité :
Cannot find object or property.
Can not find a valid CSP in the local machine.
Continuer la lecture de « Die Beantragung eines Zertifikats ist nicht möglich, da die Zertifikatvorlage nicht angezeigt wird. Die Fehlermeldung lautet „Can not find a valid CSP in the local machine.“ »

Den Signaturalgorithmus einer Zertifizierungsstellen-Hierarchie ändern, ohne neue Zertifizierungsstellen-Zertifikate auszustellen

Mitunter kann es erforderlich sein, den algorithme de signature einer bereits installierten Zertifizierungsstellen-Hierarchie nachträglich zu ändern.

Häufig ist dies der Fall, weil man diese mit PKCS#1 Version 2.1 installiert hat und im Nachgang leider feststellen muss, dass nicht alle Anwendungen zu den daraus entstehenden Zertifikaten kompatibel sind, und die Hierarchie somit nicht verwenden können.

Ist es noch relativ einfach, den Signaturalgorithmus für die von einer Zertifizierungsstelle ausgestellten Zertifikate nachträglich zu ändern, wird es bei den Zertifizierungsstellen-Zertifikaten schon schwieriger.

Continuer la lecture de « Den Signaturalgorithmus einer Zertifizierungsstellen-Hierarchie ändern, ohne neue Zertifizierungsstellen-Zertifikate auszustellen »

Überprüfen der Verbindung zum privaten Schlüssel eines Zertifikate (z.B. bei Einsatz eines Hardware Security Moduls)

Für einen Fuktionstest, oder bei einer Fehlersuche kann es sinnvoll sein, zu überprüfen, ob der private Schlüssel eines Zertifikats verwendbar ist. Ist der Schlüssel beispielsweise mit einem Hardware Security Modul (HSM) gesichert, gibt es deutlich mehr Abhängigkeiten und Möglichkeiten für Fehler als bei einem Software-Schlüssel.

Continuer la lecture de « Überprüfen der Verbindung zum privaten Schlüssel eines Zertifikate (z.B. bei Einsatz eines Hardware Security Moduls) »

Restauration d'une autorité de certification à partir d'une sauvegarde (backup)

Nachfolgend wird die Wiederherstellung einer Zertifizierungsstelle aus der Sicherung beschrieben. Neben dem Katastrophenfall ist diese Vorgehensweise auch Teil der Migration eine Zertifizierungsstelle auf einen neuen Server.

Continuer la lecture de « Wiederherstellung einer Zertifizierungsstelle aus der Sicherung (Backup) »

Récupération d'un certificat d'autorité de certification avec le module de sécurité matériel (HSM)

Nachfolgend wird die Wiederherstellung eines Zertifizierungsstellen-Zertifikats mit Software-Schlüssel beschrieben.

Die Wiederherstellung des Zertifizierungsstellen-Zertifikats kann aus folgenden Gründen notwendig sein:

Continuer la lecture de « Wiederherstellung eines Zertifizierungsstellenzertifikats mit Hardware Security Modul (HSM) »

Récupération d'un certificat d'autorité de certification avec une clé logicielle

Nachfolgend wird die Wiederherstellung eines Zertifizierungsstellen-Zertifikats mit Software-Schlüssel beschrieben.

Die Wiederherstellung des Zertifizierungsstellen-Zertifikats kann aus folgenden Gründen notwendig sein:

Continuer la lecture de « Wiederherstellung eines Zertifizierungsstellenzertifikats mit Software-Schlüssel »

Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „0x800b0101 (-2146762495 CERT_E_EXPIRED)“

Supposons le scénario suivant :

  • Ein Benutzer beantragt ein Zertifikat von einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority)
  • Die Beantragung des Zertifikats schlägt mit folgender Fehlermeldung fehl.
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „0x800b0101 (-2146762495 CERT_E_EXPIRED)“ »

Le service d'autorité de certification ne démarre pas et affiche le message d'erreur "A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT)".

Supposons le scénario suivant :

  • Une autorité de certification est mise en œuvre sur le réseau.
  • Le service d'autorité de certification ne démarre pas
  • Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :
A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT)
Continuer la lecture de « Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT)“ »

Le service d'autorité de certification ne démarre pas et affiche le message d'erreur "A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING)".

Supposons le scénario suivant :

  • Une autorité de certification est mise en œuvre sur le réseau.
  • Le service d'autorité de certification ne démarre pas
  • Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :
A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING)
Continuer la lecture de « Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING)“ »

La demande de certificat échoue avec le message d'erreur "You cannot request a certificate at this time because no certificate types are available".

Supposons le scénario suivant :

  • On essaie de demander un certificat à une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • Pour ce faire, on utilise la console de gestion Microsoft (MMC), soit pour l'utilisateur connecté (certmgr.msc), soit pour l'ordinateur (certlm.msc).
  • L'utilisateur connecté dispose également des autorisations nécessaires pour demander des certificats du modèle de certificat concerné (Enroll).
  • Aucun modèle de certificat n'est proposé à la sélection, alors qu'il a été correctement publié sur les sites des autorités de certification.
  • Il n'y a pas non plus d'option "Show hidden templates". Celle-ci apparaît habituellement en bas à gauche de la boîte de dialogue.
  • Le message d'erreur suivant s'affiche :
Certificate types are not available. You cannot request a certificate at this time because no certificate types are available. If you need a certificate, contact your administrator.
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung „You cannot request a certificate at this time because no certificate types are available.“ »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais