Lors des tests d'intrusion et pour les attaquants qui recherchent des cibles potentielles sur le réseau, il est très intéressant d'avoir un aperçu de la configuration de l'autorité de certification.
Outre d'éventuelles erreurs de configuration, les pirates peuvent obtenir des informations sur le module Policy utilisé sur l'autorité de certification.
Continuer la lecture de « Auslesen der Konfiguration der Zertifizierungsstelle durch unprivilegierte Konten unterbinden »Supposons le scénario suivant :
A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)Continuer la lecture de « Smartcard-Anmeldung schlägt fehl mit Fehlermeldung „A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)“ »
Comme tout logiciel les services de certificats Microsoft Active Directory sont également soumis à certaines limitesLes produits de la marque sont soumis à des contraintes imposées par leur conception.
Il n'est pas aussi évident de répondre à la question de savoir combien de Noms alternatifs des demandeurs (Subject Alternative Name, SAN) être délivrés avec l'autorité de certification Microsoft.
L'IETF RFC 5280 décrit la structure pour les Subject Alternative Names comme suit :
SubjectAltName ::= GeneralNamesContinuer la lecture de « Wie viele Alternative Antragstellernamen (engl. Subject Alternative Name, SAN) unterstützen die Active Directory Certificate Services? »
Für die Verschlüsselung von E-Mail Nachrichten verwenden Unternehmen üblicherweise den Extensions de messages Internet sécurisés / polyvalents (S/MIME) et mettent à la disposition de leurs utilisateurs les certificats correspondants.
Un aspect important ici est que les clés privées des utilisateurs doivent être sécurisées de manière centralisée, contrairement aux certificats de signature qui sont par ailleurs le plus souvent utilisés. Les messages entrants sont cryptés pour une clé privée spécifique et ne peuvent être décryptées que par ce dernier. Il est donc impératif de disposer d'une sauvegarde de ces clés - y compris pour les Synchronisation sur les terminaux mobiles cela est indispensable. Pour cela, les Microsoft Active Directory Certificate Services offrent la fonction de Archivage des clés privées (angl. Private Key Archival).
Mais que se passe-t-il si l'archivage des clés privées n'a pas été mis en place et que les utilisateurs ont déjà demandé les certificats correspondants ?
Continuer la lecture de « Nachträgliche Archivierung privater Schlüssel »Dans l'article "Signer des certificats en contournant l'autorité de certificationJ'ai décrit dans l'article "Comment un attaquant en possession de droits administratifs sur l'autorité de certification peut générer un certificat d'inscription pour des comptes administratifs du domaine en contournant le logiciel de l'autorité de certification, c'est-à-dire en utilisant directement la clé privée de l'autorité de certification.
Dans l'article précédent, j'ai présenté le PSCertificateEnrollment Module Powershell pour illustrer la procédure. Microsoft fournit avec certreq et certutil Le système d'exploitation de l'entreprise est livré avec des outils de pentesting parfaitement adaptés.
Continuer la lecture de « Signieren von Zertifikaten unter Umgehung der Zertifizierungsstelle – allein mit Bordmitteln »Habituellement, le codage des caractères et des chaînes de caractères dans les certificats n'est pas un sujet qui intéresse beaucoup les utilisateurs d'une PKI. Il existe cependant des cas où les paramètres par défaut de l'autorité de certification ne donnent pas les résultats escomptés.
Continuer la lecture de « Zeichenkodierung im Subject Distinguished Name von Zertifikatanforderungen und ausgestellten Zertifikaten »Supposons le scénario suivant :
Supposons le scénario suivant :
0: DC01 *** Testing DC[0]: DC01 Enterprise Root store: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED) KDC certificates: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED) CertUtil: -DCInfo command FAILED: 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED) CertUtil: Access is denied.Continuer la lecture de « Die Überprüfung der Domänencontroller-Zertifikate wirft den Fehlercode ERROR_ACCESS_DENIED »
J'ai récemment été confronté au phénomène suivant : en raison d'une logique de demande défectueuse, plusieurs utilisateurs avaient demandé de nouveaux certificats à intervalles réguliers.
Die Zertifikatvorlage war konfiguriert, eingehende Zertifikatanforderungen durch einen Zertifikatmanager freigeben zu lassen, d.h. es erfolgte keine automatische Ausstellung der Zertifikate. Die Zertifikatanforderungen sollten durch einen eigenen Code überprüft und anschließend freigegeben werden.
On pourrait s'attendre à ce que (puisque toutes les demandes de certificats sont finalement acceptées) les utilisateurs trouvent plusieurs certificats du même type dans leur liste de certificats (et dans les applications qui les utilisent). Or, ce n'est pas le cas.
Continuer la lecture de « Was passiert, wenn ein Benutzer mehrere Zertifikate beantragt hat? »Si l'on souhaite Consultation de la base de données des autorités de certification il faut d'abord savoir ce que l'on veut chercher.
Il est possible d'éditer le schéma de la base de données de l'autorité de certification.
Continuer la lecture de « Das Datenbankschema der Zertifizierungsstellen-Datenbank »Supposons le scénario suivant :
Cannot find the certificate and private key for decryption. CertUtil: -repairstore command FAILED: 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND) CertUtil: Cannot find object or property.Continuer la lecture de « Die Wiederherstellung der Verbindung zum privaten Schlüssel schlägt fehl mit Fehlermeldung „Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)“ »
Supposons le scénario suivant :
Windows could not install the new certificate templates. This security ID may not be assigned as the owner of this object.Continuer la lecture de « Die Installation der Standard-Zertifikatvorlagen schlägt fehl mit Fehlermeldung „This security ID may not be assigned as the owner of this object.“ »
Supposons le scénario suivant :
"Error: SignerSign() failed." (-2147024885/0x8007000b)Continuer la lecture de « Codesignaturen von Appx Paketen per SignTool.exe schlagen fehl mit Fehlercode 0x8007000b (ERROR_BAD_FORMAT) »
Il est parfois nécessaire d'émettre des certificats avec une durée de validité plus courte que celle configurée dans le modèle de certificat. C'est peut-être pour cela que l'on ne souhaite pas reconfigurer immédiatement le modèle de certificat ou créer un autre modèle de certificat.
Continuer la lecture de « Zertifikate mit verkürzter Gültigkeitsdauer ausstellen »Certains auront sans doute remarqué que la liste de certificats pour les autorités de certification intermédiaires contient généralement aussi des certificats pour les autorités de certification racines.
En règle générale, ce comportement n'est pas critique. Dans certains cas cela peut toutefois entraîner des problèmes avec les applications.
Continuer la lecture de « Stammstellen-Zertifikate werden auf Domänenmitgliedern in den Zertifikatspeicher für Zwischenzertifizierungsstellen importiert »
Français 
Deutsch 
English