Étiquette : Liste de révocation des certificats (CRL)

Les listes de blocage ne sont pas reconnues comme valides (uniquement) sous Windows (CRYPT_E_REVOCATION_OFFLINE)

Récemment, quelqu'un s'est adressé à moi avec un problème intéressant.

Une autorité de certification a été installée. Linux, c'est-à-dire (probablement) OpenSSL, sert de base. Les listes de blocage fonctionnent sur les clients Linux, mais ne sont pas acceptées par les systèmes Windows. Ici, le message d'erreur suivant apparaît toujours lorsque l'on vérifie les listes de blocage.

0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE) -- 2148081683 (-2146885613)
Text der Fehlermeldung: Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war.

En anglais, le message d'erreur est le suivant :

0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE) -- 2148081683 (-2146885613)
The revocation function was unable to check revocation because the revocation server was offline.
Continuer la lecture de « Sperrlisten werden (nur) auf Windows nicht als gültig erkannt (CRYPT_E_REVOCATION_OFFLINE) »

Principes de base : listes de blocage du delta

Pour pouvoir retirer les certificats émis avant la fin de leur durée de validité, on utilise des listes de révocation de certificats (en anglais "Certificate Revocation List", CRL).

Il s'agit d'une liste signée des numéros de série des certificats qui ont été révoqués par l'autorité de certification. La liste de révocation a une date d'expiration (généralement courte de quelques jours) et est réémise et signée à intervalles réguliers par l'autorité de certification correspondante.

Les listes de révocation de certificats peuvent atteindre une taille considérable si le volume de certificats révoqués est important (en règle générale, on peut compter environ 5 mégaoctets pour 100 000 entrées). Le téléchargement régulier de grandes listes de révocation de certificats par les abonnés peut générer une charge importante sur le réseau. Pour répondre à ce problème, il existe le concept des listes de blocage delta.

Continuer la lecture de « Grundlagen: Deltasperrlisten »

Rôles dans une infrastructure à clé publique

Pour concevoir une infrastructure à clé publique, il est essentiel de comprendre les rôles impliqués.

Le terme "infrastructure à clé publique" englobe bien plus que les composants techniques et est souvent utilisé de manière équivoque.

En résumé, on peut dire qu'une infrastructure à clé publique est à la fois une technologie d'authentification et l'ensemble des composants impliqués.

Continuer la lecture de « Rollen in einer Public Key Infrastruktur »

Impossible d'envoyer des messages cryptés S/MIME avec Outlook pour iOS : "There's a problem with one of your S/MIME encryption certificates".

Supposons le scénario suivant :

There's a problem with one of your S/MIME encryption certificates. Contact your IT help desk for more info.
Es gibt ein Problem mit einem ihrer S/MIME-Verschlüsselungszertifikate. Wenden Sie sich für weitere Informationen an Ihren IT-Helpdesk.
Continuer la lecture de « Das Senden von S/MIME verschlüsselten Nachrichten mit Outlook for iOS ist nicht möglich: „There’s a problem with one of your S/MIME encryption certificates.“ »

Erreur de connexion avec Windows Hello for Business : "Contactez l'administrateur système et dites-lui que le certificat KDC n'a pas pu être vérifié".

Supposons le scénario suivant :

  • L'entreprise utilise Windows Hello for Business.
  • Les utilisateurs reçoivent le message d'erreur suivant lorsqu'ils se connectent au client :
Sign-in failed. Contact your system administrator and tell them that the KDC certificate could not be validated. Additional information may be available in the system event log.
Continuer la lecture de « Anmeldefehler mit Windows Hello for Business: „Wenden Sie sich an den Systemadministrator, und teilen Sie ihm mit, dass das KDC-Zertifikat nicht überprüft werden konnte.“ »

Principes de base du répondeur en ligne (Online Certificate Status Protocol, OCSP)

Les certificats disposent généralement de l'extension „CRL Distribution Points“, qui permet d'indiquer à une application où se trouve la liste de diffusion associée au certificat. Liste de révocation des certificats (CRL) est à trouver.

Celui-ci ressemble à un annuaire téléphonique : On y trouve tous les numéros de série des certificats rappelés par l'autorité de certification (et encore valables). Chaque application qui vérifie le statut de révocation doit télécharger et évaluer la liste de révocation complète.

Plus la taille augmente, plus cette procédure devient inefficace. En règle générale, 100 000 certificats rappelés correspondent déjà à une taille de fichier d'environ 5 Mo pour la liste de révocation.

Le Online Certificate Status Protocol (OCSP) a été développé à cet effet (sous la direction de la société ValiCert) : Il s'agit d'un service d'information qui permet aux applications de demander le statut de révocation de certificats individuels, ce qui évite de devoir télécharger la CRL complète. OCSP est disponible dans le RFC 6960 est spécifiée.

Continuer la lecture de « Grundlagen Onlineresponder (Online Certificate Status Protocol, OCSP) »

Le répondeur en ligne (OCSP) signale „The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE“

Supposons le scénario suivant :

  • Un répondeur en ligne (OCSP) est configuré sur le réseau.
  • Pour une autorité de certification, l'OCSP est activé et une configuration de blocage est mise en place.
  • La console d'administration du répondeur en ligne affiche l'état suivant pour la configuration du blocage :
Type: Microsoft CRL-based revocation status provider
The revocation provider failed with the current configuration. The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE), 0x80092013
Continuer la lecture de « Der Onlineresponder (OCSP) meldet „The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE“ »

Le répondeur en ligne (OCSP) signale „The object identifier does not represent a valid object. 0x800710d8 (WIN32 : 4312 ERROR_OBJECT_NOT_FOUND)“.“

Supposons le scénario suivant :

  • Un répondeur en ligne (OCSP) est configuré sur le réseau.
  • Pour une autorité de certification, l'OCSP est activé et une configuration de blocage est mise en place.
  • La console d'administration du répondeur en ligne affiche l'état suivant pour la configuration du blocage :
Type: Microsoft CRL-based revocation status provider
The revocation provider failed with the current configuration. The object identifier does not represent a valid object. 0x800710d8 (WIN32: 4312 ERROR_OBJECT_NOT_FOUND), 0x800710d8
Continuer la lecture de « Der Onlineresponder (OCSP) meldet „The object identifier does not represent a valid object. 0x800710d8 (WIN32: 4312 ERROR_OBJECT_NOT_FOUND)“ »

La révocation d'un certificat émis échoue avec le message d'erreur „The data is invalid. 0x8007000d (WIN32 : 13 ERROR_INVALID_DATA)“.“

Supposons le scénario suivant :

  • Un certificat est révoqué via la ligne de commande (certutil -revoke).
  • L'opération échoue avec le message d'erreur suivant :
ICertAdmin::RevokeCertificate: The data is invalid. 0x8007000d (WIN32: 13 ERROR_INVALID_DATA)
Continuer la lecture de « Der Widerruf eines ausgestellten Zertifikats schlägt fehl mit Fehlermeldung „The data is invalid. 0x8007000d (WIN32: 13 ERROR_INVALID_DATA)“ »

Traitement des certificats expirés lors de la délivrance de listes de révocation de certificats

Par défaut, Microsoft Active Directory Certificate Services supprime les numéros de série des certificats expirés des listes de révocation émises.

Il y a toutefois quelques exceptions à cette règle.

Continuer la lecture de « Behandlung abgelaufener Zertifikate bei der Ausstellung von Zertifikatsperrlisten »

Google Chrome et Microsoft Edge ne vérifient pas l'état de révocation des certificats

De plus en plus d'entreprises utilisent comme navigateur par défaut sur la plateforme Windows le navigateur Google Chrome ou le nouveau Microsoft Edge basé sur Chromium (nom de code Anaheim).

Lors de la distribution de l'un de ces deux navigateurs, il convient de tenir compte du fait qu'ils se comportent en partie différemment des autres navigateurs en ce qui concerne les certificats.

Outre le fait que Chromium, contrairement à Internet Explorer et au précédent Edge (nom de code Spartan) qui impose le RFC 2818, il se comporte aussi en Vérification des informations de blocage différent.

Continuer la lecture de « Google Chrome und Microsoft Edge prüfen Sperrstatus von Zertifikaten nicht »

Détails de l'événement avec ID 130 de la source Microsoft-Windows-CertificationAuthority

Source de l'événement :Microsoft-Windows-CertificationAuthority
ID de l'événement :130 (0x82)
Journal des événements :Application
Type d'événement :Erreur
Nom symbolique :MSG_E_CRL_CREATION
Texte de l'événement (en anglais) :Active Directory Certificate Services n'a pas pu créer de liste de révocation de certificats. %1. Cela peut provoquer l'échec des applications qui ont besoin de vérifier l'état de révocation des certificats émis par cette CA. Vous pouvez recréer manuellement la liste de révocation des certificats en exécutant la commande suivante : „certutil -CRL“. Si le problème persiste, redémarrez Certificate Services.
Texte de l'événement (en allemand) :Aucune liste de révocation de certificats n'a pu être créée par les services de certificats Active Directory. %1. Cela peut entraîner une erreur dans les applications qui nécessitent une vérification de l'état de révocation des certificats émis par cette autorité de certification. Il est possible de recréer manuellement la liste de révocation des certificats en exécutant la commande suivante : „certutil -CRL“. Si le problème persiste, redémarrez les services de certification.
Continuer la lecture de « Details zum Ereignis mit ID 130 der Quelle Microsoft-Windows-CertificationAuthority »

Détails de l'événement avec ID 131 de la source Microsoft-Windows-CertificationAuthority

Source de l'événement :Microsoft-Windows-CertificationAuthority
ID de l'événement :131 (0x83)
Journal des événements :Application
Type d'événement :Avertissement
Texte de l'événement (en anglais) :Un OID invalide a été détecté dans le paramètre de configuration EKUOIDsForPublishExpiredCertInCRL. Pour résoudre ce problème, exécutez : „certutil -getreg ca\EKUOIDsForPublishExpiredCertInCRL“ pour identifier l'OID invalide et le corriger. Les OID par défaut („1.3.6.1.5.5.7.3.3“ et „1.3.6.1.4.1.311.61.1.1“) seront utilisés.
Texte de l'événement (en allemand) :Un OID non valide a été détecté dans le paramètre de configuration „EKUOIDsForPublishExpiredCertInCRL“. Pour le corriger, exécutez la commande „certutil -getreg ca\EKUOIDsForPublishExpiredCertInCRL“ afin de déterminer et de corriger l'OID invalide. Les OID par défaut („1.3.6.1.5.5.7.3.3“ et „1.3.6.1.4.1.311.61.1.1“) seront utilisés.
Continuer la lecture de « Details zum Ereignis mit ID 131 der Quelle Microsoft-Windows-CertificationAuthority »

Détails de l'événement ID 74 de la source Microsoft-Windows-CertificationAuthority

Source de l'événement :Microsoft-Windows-CertificationAuthority
ID de l'événement :74 (0x4A)
Journal des événements :Application
Type d'événement :Erreur
Nom symbolique :MSG_E_BASE_CRL_PUBLICATION_HOST_NAME
Texte de l'événement (en anglais) :Les services de certificats Active Directory n'ont pas pu publier une liste de révocation de certificats (CRL) de base pour la clé %1 à l'emplacement suivant sur le serveur %4 : %2. %3.%5%6
Texte de l'événement (en allemand) :Aucune liste de révocation de certificats de base n'a pu être publiée pour la clé %1 à l'emplacement suivant sur le serveur „ %4 “ : %2. %3.%5%6
Continuer la lecture de « Details zum Ereignis mit ID 74 der Quelle Microsoft-Windows-CertificationAuthority »

Détails de l'événement ID 75 de la source Microsoft-Windows-CertificationAuthority

Source de l'événement :Microsoft-Windows-CertificationAuthority
ID de l'événement :75 (0x4B)
Journal des événements :Application
Type d'événement :Erreur
Nom symbolique :MSG_E_DELTA_CRL_PUBLICATION_HOST_NAME
Texte de l'événement (en anglais) :Les services de certificats Active Directory n'ont pas pu publier une liste de révocation delta pour la clé %1 à l'emplacement suivant sur le serveur %4 : %2. %3.%5%6
Texte de l'événement (en allemand) :Aucune liste de révocation de certificats Delta n'a pu être publiée pour la clé %1 à l'emplacement suivant sur le serveur „ %4 “ : %2. %3.%5%6
Continuer la lecture de « Details zum Ereignis mit ID 75 der Quelle Microsoft-Windows-CertificationAuthority »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais