Étiquette : RFC 5280

Combien de noms alternatifs (Subject Alternative Name, SAN) sont pris en charge par Active Directory Certificate Services ?

Comme tout logiciel les services de certificats Microsoft Active Directory sont également soumis à certaines limitesLes produits de la marque sont soumis à des contraintes imposées par leur conception.

Il n'est pas aussi évident de répondre à la question de savoir combien de Noms alternatifs des demandeurs (Subject Alternative Name, SAN) être délivrés avec l'autorité de certification Microsoft.

L'IETF RFC 5280 décrit la structure pour les Subject Alternative Names comme suit :

SubjectAltName ::= GeneralNames
Continuer la lecture de « Wie viele Alternative Antragstellernamen (engl. Subject Alternative Name, SAN) unterstützen die Active Directory Certificate Services? »

Codage des caractères dans le Subject Distinguished Name des demandes de certificat et des certificats délivrés

Habituellement, le codage des caractères et des chaînes de caractères dans les certificats n'est pas un sujet qui intéresse beaucoup les utilisateurs d'une PKI. Il existe cependant des cas où les paramètres par défaut de l'autorité de certification ne donnent pas les résultats escomptés.

Continuer la lecture de « Zeichenkodierung im Subject Distinguished Name von Zertifikatanforderungen und ausgestellten Zertifikaten »

Principes de base : contraintes de nom (Name Constraints)

Les restrictions de noms font partie de la norme X.509 et sont définies dans le RFC 5280 ont été décrits. Ils constituent un outil qui peut être utilisé dans le cadre subordination qualifiée peut être utilisé pour contrôler finement la portée d'un certificat d'autorité de certification.

Continuer la lecture de « Grundlagen: Namenseinschränkungen (Name Constraints) »

Principes de base : l'extension du certificat Key Usage

Les extensions de certificat ont été introduites avec la version 3 de la norme X.509. L'extension Key Usage est une extension de certificat optionnelle qui peut être utilisée dans le RFC 5280 et sert à limiter les utilisations autorisées d'une clé.

Continuer la lecture de « Grundlagen: Die Key Usage Zertifikaterweiterung »

L'extension de certificat "Application Policies

Für welche Zwecke ein digitales Zertifikat verwendet werden darf, wird über die Zertifikaterweiterungen „Key Usage“ und „Extended Key Usage“ gesteuert.

In der „Extended Key Usage“ Zertifikaterweiterung werden die des utilisations de clés étendues pour lesquels le certificat peut être utilisé.

Il existe toutefois, pour les certificats émis par une autorité de certification Microsoft, une autre extension de certificat appelée "Application Policies" (en anglais : "Politiques d'application"), qui contient également une liste très similaire à l'extension Extended Key Usages.

Continuer la lecture de « Die „Application Policies“ Zertifikaterweiterung »

Principes de base : fichier de configuration pour l'autorité de certification (capolicy.inf)

Le capolicy.inf contient des paramètres de base qui peuvent ou devraient être définis avant l'installation d'une autorité de certification. Pour simplifier, on peut dire qu'aucune autorité de certification ne devrait être installée sans lui.

Continuer la lecture de « Grundlagen: Konfigurationsdatei für die Zertifizierungsstelle (capolicy.inf) »

Principes de base : contrainte de longueur de chemin (Path Length Constraint)

L'attaque de l'algorithme de signature MD5 présentée fin 2008 n'a pu être utilisé pour créer un faux certificat d'autorité de certification utilisable que parce que l'autorité de certification attaquée n'avait pas configuré de limitation de la longueur du chemin.

La limitation de la longueur du chemin est indiquée dans le RFC 5280 est décrite. L'idée est de définir la profondeur maximale de la hiérarchie des autorités de certification dans l'extension „Basic Constraints“ d'un certificat d'autorité de certification.

Continuer la lecture de « Grundlagen: Einschränkung der Pfadlänge (Path Length Constraint) »

Principes de base : vérification du statut de révocation des certificats

Soll ein gültiges, noch nicht abgelaufenes Zertifikat aus dem Verkehr gezogen werden, muss es widerrufen werden. Hierfür pflegen die Zertifizierungsstellen entsprechende Sperrlisten, in welchen die digitalen Fingerabdrücke der widerrufenen Zertifikate aufgelistet sind. Sie müssen bei der Gültigkeitsprüfung abgefragt werden.

Continuer la lecture de « Grundlagen: Überprüfung des Sperrstatus von Zertifikaten »

Utilisation de HTTP via Transport Layer Security (HTTPS) pour les points de distribution de listes de blocage (CDP) et le répondeur en ligne (OCSP)

In Hinsicht auf die Gestaltung der Infrastruktur zur Bereitstellung der Sperrinformationen – also der Sperrlistenverteilungspunkte (CRL Distribution Point, CSP) sowie der Online Responder (Online Certificate Status Protocol, OCSP) kommt die Frage auf, ob man diese über Secure Sockets Layer (SSL) bzw. Transport Layer Security (TLS) „absichern“ sollte.

Continuer la lecture de « Verwenden von HTTP über Transport Layer Security (HTTPS) für die Sperrlistenverteilungspunkte (CDP) und den Onlineresponder (OCSP) »

Mehr als ein gemeinsamer Name (Common Name, CN) im Zertifikat

Heutzutage eher eine Kuriosität als wirklich praxisrelevant, aber es kommt hin und wieder vor, dass man Zertifikatanforderungen erhält, welche mehr als einen gemeinsamen Namen (Common Name) im Betreff (Subject) beinhalten. Auch wenn es erstaunlich wirken mag, dies ist durchaus möglich und auch RFC-konform.

Continuer la lecture de « Mehr als ein gemeinsamer Name (Common Name, CN) im Zertifikat »

Description des paramètres de configuration nécessaires pour le profil de certificat "Common PKI".

Vous trouverez ci-dessous une description des paramètres de configuration nécessaires pour qu'une hiérarchie de certificats basée sur les services de certificats Active Directory soit conforme à la norme „ Common PKI “ (anciennement connue sous le nom d'ISIS-MTT).

Continuer la lecture de « Beschreibung der notwendigen Konfigurationseinstellungen für das „Common PKI“ Zertifikatprofil »

Noms distinctifs relatifs (RDN) autorisés dans le Subject Distinguished Name (DN) des certificats délivrés

En principe, le RFC 5280 l'utilisation de n'importe quelle chaîne de caractères dans le Subject Distinguished Name (DN) d'un certificat. Les champs courants sont, dans la norme X.520 sont décrits. Le site Des restrictions de longueur sont également recommandées par l'UIT-T. Les abréviations courantes d'aujourd'hui sont principalement issues du RFC 4519.

Cependant, par défaut, les Microsoft Active Directory Certificate Services n'autorisent que certains RDN.

Les noms distinctifs relatifs (RDN) suivants sont acceptés par défaut par l'autorité de certification Active Directory Certificate Services (ADCS) :

Continuer la lecture de « Erlaubte Relative Distinguished Names (RDNs) im Subject Distinguished Name (DN) ausgestellter Zertifikate »

Inclure la politique d'émission Wildcard (All Issuance Policies) dans un certificat d'autorité de certification

Si l'on installe une autorité de certification émettrice (Issuing CA) et que l'on ne demande pas explicitement une politique d'émission (Issuance Policy), le certificat d'autorité de certification qui en résulte ne contient pas de politique d'émission.

Si vous souhaitez inclure la politique d'émission générique (All Issuance Policies) dans le certificat de l'autorité de certification, procédez comme suit :

Continuer la lecture de « Die Wildcard Ausstellungsrichtlinie (All Issuance Policies) in ein Zertifizierungsstellen-Zertifikat aufnehmen »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais