Étiquette : PKCS#7

Échange électronique de données avec la Deutsche Rentenversicherung (assurance pension allemande)

Récemment, j'ai travaillé avec la B-I-T GmbH Informations et processus de Hanovre a travaillé à la réalisation de l'échange électronique de données avec les caisses d'assurance maladie légales et l'assurance pension à partir d'une seule application.

Dans ce cas, on utilise une combinaison de transmission de données authentifiées de messages à la fois signés et cryptés. Dans tous ces cas, les technologies PKI sont utilisées.

Le format de message utilisé est ici documenté.

Continuer la lecture de « Elektronischer Datenaustausch mit der Deutschen Rentenversicherung »

Zertifikatanforderungen für den Onlineresponder (OCSP) schlagen sporadisch fehl mit Fehlermeldung „The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)“

Supposons le scénario suivant :

  • Es ist ein Onlineresponder (OCSP) im Netzwerk eingerichtet.
  • Die Zertifizierungsstellen melden in unregelmäßigen Abständen, dass Zertifikatanforderungen für die OCSP-Antwortsignaturzertifikate mit folgender Fehlermeldung fehlschlagen:
The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK).
Continuer la lecture de « Zertifikatanforderungen für den Onlineresponder (OCSP) schlagen sporadisch fehl mit Fehlermeldung „The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)“ »

Principes de base : Enroll on Behalf of (EOBO)

Vous trouverez ci-dessous une description de la fonction Enroll on Behalf Of ainsi qu'une délimitation par rapport aux autres méthodes de demande de certificats.

Continuer la lecture de « Grundlagen: Enroll on Behalf of (EOBO) »

SSCEP : Le sujet de notre demande ne correspond pas à celui du certificat renvoyé !

Supposons le scénario suivant :

sscep: Subject of our request does not match that of the returned Certificate!
Continuer la lecture de « SSCEP: Subject of our request does not match that of the returned Certificate! »

Installer SSCEP pour Linux (Debian Buster) et demander des certificats via le service d'enregistrement des périphériques réseau (NDES)

Si l'on souhaite équiper une grande quantité de systèmes avec des certificats, il faut une demande manuelle et le renouvellement des certificats ne sont pas une option. La seule voie possible est l'automatisation.

Pour les systèmes qui ne sont pas membres de la structure globale d'Active Directory, une demande automatique de certificat via RPC/DCOM pas une option.

Pour certains cas d'application, le Simple Certificate Enrollment Protocol (SCEP) est une alternative intéressante. Pour ce protocole, il n'existe pas seulement des clients pour Windows, mais aussi pour Linux avec SSCEP. SSCEP est notamment utilisé par les clients légers avec le protocole Système d'exploitation eLux est utilisé.

Voici comment configurer le client SSCEP sur un système Debian Buster Linux, soit pour administrer des serveurs, soit pour tester le comportement côté client.

Continuer la lecture de « SSCEP für Linux (Debian Buster) installieren und Zertifikate über den Registrierungsdienst für Netzwerkgeräte (NDES) beantragen »

Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)

Le Simple Certificate Enrollment Protocol (SCEP) a été développé par Verisign pour Cisco au début des années 2000 afin de pouvoir utiliser une méthode simplifiée pour demander des certificats. Auparavant, il fallait générer manuellement une demande de certificat pour chaque appareil du réseau, la transmettre à une autorité de certification, puis réinstaller manuellement le certificat délivré sur l'appareil correspondant.

Continuer la lecture de « Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) »

Description des différents formats de certificats

Les certificats X.509 sont en principe codés au format Distinguished Encoding Rules (DER). Il s'agit d'un format binaire lisible par une machine.

Les certificats codés DER peuvent toutefois être convertis en un format textuel à l'aide de la procédure BASE64, de sorte qu'ils puissent par exemple être transmis dans un corps d'e-mail. BASE64 englobe ici le format codé DER, c'est-à-dire que le certificat est et reste dans tous les cas codé DER.

Continuer la lecture de « Beschreibung der verschiedenen Zertifikat-Formate »

Faut-il utiliser HTTPS pour le service d'enregistrement des périphériques réseau (NDES) ?

Beim Registrierungsdienst für Netzwerkgeräte (NDES) handelt es sich um die Microsoft-Implementierung des in den frühen 2000ern von der Firma Cisco entwickelten Simple Certificate Enrollment Protocol (SCEP). Die erste Implementierung wurde mit Windows Server 2003 veröffentlicht.

Es mag verwundern, dass NDES in der Standardeinstellung bis heute kein Secure Socket Layer (SSL) für die HTTP-Verbindungen verwendet. Dieser Sachverhalt wird nachfolgend näher erläutert und bewertet.

Continuer la lecture de « Sollte HTTPS für den Registrierungsdienst für Netzwerkgeräte (NDES) verwendet werden? »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais