Suite

Répertoire ArcGIS Server utilisé pour stocker les fichiers intermédiaires

Répertoire ArcGIS Server utilisé pour stocker les fichiers intermédiaires


J'ai un outil qui fait le travail suivant :

  1. Se connecte et récupère les données de hdf à l'aide d'impala
  2. Créez un fichier csv intermédiaire.
  3. à partir du fichier csv, il crée des classes d'entités personnalisées.

Actuellement, lorsque je l'exécute en tant qu'outil autonome, j'ai utilisé des chemins absolus sur les disques locaux et cela fonctionne bien. J'ai utilisé un nombre aléatoire pour générer différents répertoires de travail pour stocker les données.

Je dois maintenant publier cet outil en tant que service de géotraitement. J'ai donc besoin d'accéder aux répertoires du serveur pour enregistrer mes fichiers intermédiaires.

Comme je l'ai lu, chaque fois qu'un outil est exécuté, il crée un dossier avec un identifiant unique dans le dossier arcgisjob. Si j'ai bien compris, j'ai besoin d'accéder à ce répertoire.

S'il vous plaît suggérer comment utiliser le dossier.

J'utilise ArcGIS 10.1 Server pour Windows.


Je recommande d'utiliser arcpy.env.scratchFolder pour gérer les fichiers intermédiaires. L'aide ArcGIS indique :

Son objectif principal est d'être utilisé par des scripts et des modèles en tant que services de géotraitement, avec l'objectif supplémentaire de pointer uniquement vers un dossier connu. Lorsqu'ArcGIS for Server exécute une tâche de géotraitement, le dossier Scratch est toujours disponible pour écrire la sortie.

Le dossier Scratch est disponible depuis ArcGIS 10.1. Avant 10.1, vous devez utiliser Scratch Workspace à la place, ce qui présente l'inconvénient de ne pas distinguer si l'environnement temporaire est un dossier ou une géodatabase.


Configurer les racines de confiance et les certificats non autorisés

Les systèmes d'exploitation Windows Server 2012 R2, Windows Server 2012, Windows 8.1 et Windows 8 incluent un mécanisme de mise à jour automatique qui télécharge des listes de certificats de confiance (CTL) quotidiennement. Dans Windows Server 2012 R2 et Windows 8.1, des fonctionnalités supplémentaires sont disponibles pour contrôler la mise à jour des CTL.

Des mises à jour logicielles sont disponibles pour Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 et Windows Vista. Pour fournir les améliorations du mécanisme de mise à jour automatique décrites dans ce document, appliquez les mises à jour suivantes :


Ce problème se produit lorsque le certificat importé n'a pas de clé privée associée. Si quelqu'un essaie d'importer un certificat de niveau de domaine vers IIS, nous ne pouvons pas importer si le certificat n'a pas de clé privée associée et entraînera la disparition du certificat lors de l'actualisation.

La solution serait d'importer le fichier .CER dans votre magasin personnel (d'où le certificat est demandé) et de l'exporter avec une clé privée. Copiez ensuite le fichier .pfx sur le serveur requis et importez-le à partir de l'option de certificat de serveur sous IIS. Cela résoudrait le problème.

J'ai eu ce problème plusieurs fois. Si vous utilisez un SSL NetworkSolutions, le correctif est :

  1. Accédez au gestionnaire de certificats MMC.
  2. Affichez les certificats personnels et supprimez le certificat qui « disparaît ».
  3. Ensuite, affichez les "Demandes d'inscription de certificat" et faites un clic droit pour exporter.
  4. Sélectionnez « Oui, exporter avec une clé privée.

Cela vous permettra d'exporter le fichier .pfx que vous pouvez importer à partir du gestionnaire IIS 7. N'oubliez pas de revenir au gestionnaire de certificats MMC et sélectionnez "Certificats personnels" et dans les propriétés, ajoutez le "Nom convivial" afin qu'il apparaisse dans le gestionnaire IIS.

Si le serveur n'a pas de clé privée associée au certificat importé, le certificat disparaît lors de l'actualisation (et il ne sera pas non plus disponible pour les liaisons).

Vous pouvez vérifier dans le mmc - Certificats - Magasin personnel et confirmer que le certificat a été installé mais qu'il manque une clé privée.

Si vous avez un PFX (clé privée) et un mot de passe, vous pouvez l'importer (comme d'autres l'ont dit), mais si vous venez de faire une demande de certificat, vous ne l'aurez probablement pas.

En supposant que vous soyez sur le bon serveur (le même où vous avez demandé le certificat), probablement la clé privée a été corrompue d'une manière ou d'une autre. Vous pouvez ouvrir le certificat public, obtenir le numéro de série et essayer de restaurer la clé privée à partir du magasin de clés comme décrit ici.

Beaucoup de gens arriveront ici sans se rendre compte qu'ils font le processus de certificat à tort pour ajouter SSL à leurs sites Web publics. Ils auront téléchargé un certificat de quelqu'un comme godaddy et ne se seront pas rendu compte qu'ils l'ont fait dans le mauvais ordre ! Ils ne recevront aucun message d'erreur, tout ce qui se passera, c'est que le certificat dans IIS disparaîtra dès que vous cliquerez sur une autre section.

Le processus correct est le suivant :

  1. Dans IIS, vous demandez un certificat (UN LOF DE PERSONNES MANQUENT CETTE PARTIE)
  2. Vous utilisez le code demandé à IIS pour demander un certificat sur le site public (par exemple godaddy). Beaucoup de gens ne font pas la première étape et utilisent une clé générée aléatoirement
  3. Téléchargez les certificats créés à l'aide de votre code de demande.
  4. vous ajoutez le certificat intermédiaire dans l'autorité de certification locale (utilisez MMC pour y accéder)
  5. Vous ajoutez l'autre certificat dans IIS
  6. Vous configurez les liaisons

Voici des liens. Créer une demande de certificat

Est-ce dans IIS 6 ou IIS 7 ? L'as-tu importé dans la console MMC ou dans IIS ? Essayez d'abord de l'importer dans la console MMC, puis de le sélectionner dans IIS. Assurez-vous également que le fichier que vous importez est un fichier .pfx qui inclut la clé privée.

J'ai également eu ce problème et je l'ai résolu en utilisant OpenSSL pour créer le bon fichier .pfx. Les instructions pour cela peuvent être trouvées ici

Comme l'a dit Sandeep, IIS supprime votre certificat s'il n'a pas de clé privée. Cela se produit souvent si vous utilisez IIS pour créer une demande de certificat à partir d'une autorité de certification. Votre autorité de certification n'a pas votre clé privée (vous en avez) donc le fichier ne contient pas la clé privée. Il est les étapes exactes que vous devez faire:

Vous avez initialement créé une demande de certificat à partir d'IIS sur votre serveur. Vous avez envoyé le fichier TXT de la demande à votre autorité de certification afin qu'elle puisse créer le certificat pour vous.

Votre autorité de certification vous a renvoyé un fichier .CRT Sur le même serveur Windows que vous avez utilisé pour créer la demande de certificat, dans l'Explorateur Windows, cliquez avec le bouton droit de la souris sur le fichier .CRT que votre autorité de certification vous a envoyé.

Sélectionnez Installer le certificat L'assistant d'importation de certificat s'exécute

Dans l'assistant d'importation de certificat, dans Emplacement du magasin, sélectionnez Machine locale

Ensuite, sélectionnez Placer tous les certificats dans le magasin suivant et sélectionnez Autorités de certification racines de confiance

OK Cela oblige Windows à importer le certificat dans Windows (pas dans IIS). Vous devez maintenant obtenir le fichier PFX qui contient la clé privée :

Certificats (ordinateur local)

À partir de certificats (ordinateur local) - Certification racine de confiance étendue

Notez qu'il affiche « Vous avez une clé privée qui correspond à ce certificat ».

Cliquez avec le bouton droit de la souris sur le certificat.

Dans la page "Exporter la clé privée" de l'assistant, sélectionnez "Oui, exporter la clé privée"

L'assistant d'exportation de certificat vous invite -- Format de fichier d'exportation PKCS #12 (.PFX)

L'assistant d'exportation de certificat vous demande de protéger le fichier avec un mot de passe :

Entrez un mot de passe avec lequel protéger le fichier.

Naviguez jusqu'à un emplacement et indiquez le nom du fichier. Le fichier aura l'extension .PFX.


Exporter et importer des certificats SSL entre des serveurs Windows avec un fichier PFX

Présentation : la migration de votre certificat SSL d'un serveur Windows vers un autre serveur Windows vous obligera à exporter, puis à importer votre paire de clés SSL du serveur A vers le serveur B à l'aide d'un fichier de sauvegarde PFX, également appelé fichier d'archive PKCS #12.

Veuillez noter que les fichiers PFX ne peuvent pas être fournis par les autorités de certification car les archives PFX nécessitent la clé privée correspondante. En savoir plus sur : Comment télécharger un fichier PFX ?

A. Exporter un certificat de serveur et une clé privée vers un fichier PFX

  1. Dans le Cours boîte de dialogue, tapez mmc , puis cliquez sur d'accord. La console de gestion Microsoft (MMC) apparaît.
  2. Si vous n'avez pas Gestionnaire de certificats installé dans la MMC, vous devrez l'installer.
  3. Dans le menu Fichier, cliquez sur Ajouter/supprimer un composant logiciel enfichable
  4. Cliquez sur Ajouter puis sélectionnez Certificats du Snap-ins autonomes disponibles boîte de dialogue et cliquez sur Ajouter
  5. Sélectionner Compte d'ordinateur et alors Ordinateur local
  6. le Gestionnaire de certificats MMC a été installé
  7. Ne pas sélectionner Effacer la clé privée si l'exportation est réussie, car cela désactivera le site SSL qui correspond à cette clé privée.

    Cochez la case « inclure tous les certificats dans le chemin de certification si possible ».

    B. Importer un certificat de serveur à partir d'un fichier PFX

    1. Dans le Cours boîte de dialogue, tapez mmc , puis cliquez sur d'accord. La console de gestion Microsoft (MMC) apparaît.
    2. Si vous n'avez pas Gestionnaire de certificats installé dans la MMC, voir l'étape 2 ci-dessus.
    3. Dans l'arborescence de la console dans le volet de gauche, développez le Certificats (Ordinateur local), puis le Personnel nœud.

    Comment attribuer un certificat SSL importé à un site Web dans IIS

    1. Maintenant, les clés SSL sont sur le serveur cible. Ensuite, nous attribuons le certificat au site dans IIS.
    2. Ouvrez le Gestionnaire des services d'information Internet (IIS). Du Démarrer bouton sélectionner Programmes > AdministratifOutils > Responsable des services d'information Internet.
    3. Dans Gestionnaire IIS, double-cliquez sur l'ordinateur local, puis double-cliquez sur le Sites Internet dossier.
    4. Clic-droit le site Web auquel vous souhaitez attribuer le certificat importé, puis cliquez sur Propriétés. Par défaut, ce sera le site Web par défaut, le vôtre peut être différent.
    5. Sélectionnez le Sécurité du répertoire onglet et cliquez sur Certificat de serveur dans le Communications sécurisées section.
    6. Cliquez sur Suivant dans le Bienvenue dans l'assistant de certificat de serveur Web la fenêtre.
    7. Sélectionner Attribuer un certificat existant, Cliquez sur Suivant.
    8. Sélectionnez le certificat dans la liste et terminez l'assistant.
    9. Arrêter, ensuite Démarrer le serveur Web de ce site.

    Veuillez contacter notre équipe d'assistance si vous avez des problèmes ou des questions supplémentaires.


    Important Cette section, méthode ou tâche contient des étapes qui vous indiquent comment modifier le Registre. Cependant, de graves problèmes peuvent survenir si vous modifiez le Registre de manière incorrecte. Par conséquent, assurez-vous de suivre attentivement ces étapes. Pour une protection supplémentaire, sauvegardez le registre avant de le modifier. Ensuite, vous pouvez restaurer le registre si un problème survient. Pour plus d'informations sur la sauvegarde et la restauration du Registre, cliquez sur le numéro d'article suivant pour afficher l'article dans la Base de connaissances Microsoft :

    322756 Comment sauvegarder et restaurer le registre sous Windows

    Pour aider à rendre l'authentification LDAP sur SSLTLS plus sécurisée, les administrateurs peuvent configurer les paramètres de registre suivants :

    Chemin des contrôleurs de domaine Active Directory Domain Services (AD DS) : HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNTDSParameters

    Chemin des serveurs Active Directory Lightweight Directory Services (AD LDS) : HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices<nom de l'instanceLDS>Paramètres

    DWORD : LdapEnforceChannelBinding

    Valeur DWORD : 0 indique désactivée. Aucune validation de liaison de canal n'est effectuée. C'est le comportement de tous les serveurs qui n'ont pas été mis à jour.

    Valeur DWORD : 1 indique activée, lorsqu'il est pris en charge. Tous les clients qui s'exécutent sur une version de Windows qui a été mise à jour pour prendre en charge les jetons de liaison de canal (CBT) doivent fournir des informations de liaison de canal au serveur. Les clients qui exécutent une version de Windows qui n'a pas été mise à jour pour prendre en charge CBT n'ont pas à le faire. Il s'agit d'une option intermédiaire qui permet la compatibilité des applications.

    Valeur DWORD : 2 indique activé, toujours. Tous les clients doivent fournir des informations de liaison de canal. Le serveur rejette les demandes d'authentification des clients qui ne le font pas.

    Avant d'activer ce paramètre sur un contrôleur de domaine, les clients doivent installer la mise à jour de sécurité décrite dans CVE-2017-8563. Sinon, des problèmes de compatibilité peuvent survenir et les demandes d'authentification LDAP sur SSL/TLS qui fonctionnaient auparavant pourraient ne plus fonctionner. Par défaut, ce paramètre est désactivé.

    L'entrée de Registre LdapEnforceChannelBindings doit être explicitement créée.

    Le serveur LDAP répond dynamiquement aux modifications apportées à cette entrée de registre. Par conséquent, vous ne devez pas redémarrer l'ordinateur après avoir appliqué la modification du Registre.


    Pour maximiser la compatibilité avec les anciennes versions du système d'exploitation (Windows Server 2008 et versions antérieures), nous vous recommandons d'activer ce paramètre avec une valeur de 1.

    Pour désactiver explicitement le paramètre, définissez l'entrée LdapEnforceChannelBinding sur 0 (zéro).

    Windows Server 2008 et les systèmes antérieurs nécessitent l'installation de l'Avis de sécurité Microsoft 973811, disponible dans « KB 968389 Extended Protection for Authentication », avant d'installer CVE-2017-8563. Si vous installez CVE-2017-8563 sans KB 968389 sur un contrôleur de domaine ou une instance AD ​​LDS, toutes les connexions LDAPS échoueront avec l'erreur LDAP 81 - LDAP_SERVER_DOWN. En outre, nous vous recommandons fortement de consulter et d'installer également les correctifs documentés dans la section Problèmes connus de la base de connaissances 968389.


    4 réponses 4

    Remarque : il s'agit d'un (très très long) recueil de diverses recommandations et actions formulées par Microsoft, le NIST et d'autres experts respectés en PKI et en cryptographie. Si vous voyez quelque chose qui nécessite la moindre révision, faites-le moi savoir.

    Avant d'entrer dans la configuration de l'autorité de certification et de ses sous-marins, il est bon de savoir que même si la CryptoAPI de MSFT nécessite une racine auto-signée, certains logiciels non MSFT peuvent suivre la RFC 3280 et permettre à toute autorité de certification d'être la racine de confiance à des fins de validation. Une des raisons peut être que le logiciel non-MSFT préfère une longueur de clé inférieure.

    Voici quelques notes de configuration et des conseils sur la configuration d'un CA ROOT et des Subs :

    Stockage de la clé privée de l'autorité de certification

    Meilleur : Stockez la clé sur un HSM qui prend en charge le comptage de clés. Chaque fois que la clé privée de l'AC est utilisée, le compteur sera augmenté. Cela améliore votre profil d'audit. Recherchez FIPS140 niveau 3 ou 4

    Bon : Stockez la clé privée sur une carte à puce. Bien que je ne connaisse aucune carte à puce offrant un comptage de clés, l'activation du comptage de clés peut vous donner des résultats inattendus dans le journal des événements

    Acceptable : Stockez la clé privée dans Windows DPAPI. Assurez-vous que ces clés et l'agent d'inscription des clés ne se retrouvent pas dans les informations d'identification itinérantes. Voir aussi : Comment énumérer les informations d'identification DPAPI et d'itinérance

    N'utilisez pas 1024 comme longueur de clé. Le NIST l'a supprimé progressivement en 2011, MSFT ne l'ajoutera jamais à votre magasin Trusted Root CA car il ne répondra pas aux critères techniques minimums acceptés.

    Autorités de certification racine qui prend en charge les applications héritées ne doit jamais dépasser 2048 bits. Raison : la prise en charge de MSFT détecte de nombreux cas où les applications Java ou les périphériques réseau ne prennent en charge que des tailles de clé de 2048 octets. Enregistrez les longueurs de bits les plus élevées dans les autorités de certification qui sont limitées dans un but spécifique (Windows vs périphériques réseau), etc.

    Le NIST recommande 2048 ou 3072 bits. ECC est pris en charge, bien qu'il puisse entraîner des problèmes d'interopérabilité des appareils.

    Prévoyez le cryptage le plus fort possible (longueur de clé) dans l'ensemble de l'infrastructure à clé publique, sinon attendez-vous à des avantages de sécurité mitigés.

    Les clients mobiles ont des problèmes (CPU élevé) ou une incompatibilité avec les grosses clés

    L'algorithme & La longueur de la clé peut avoir une incidence sur la durée de validité des certificats, car ils déterminent efficacement le temps que cela peut prendre à un attaquant, c'est-à-dire plus la cryptographie est forte, plus vous pouvez être prêt à avoir des certificats valides pendant longtemps.

    Une approche consiste à établir quelle est la durée de validité la plus longue dont vous aurez besoin pour les certificats d'entité finale, la doubler pour les autorités de certification émettrices, puis la doubler à nouveau pour l'autorité de certification racine (à deux niveaux). Avec cette approche, vous renouvelez systématiquement chaque certificat ca lorsque la moitié de sa durée de vie a été atteinte - c'est parce qu'un ca ne peut pas émettre de certificats dont la date d'expiration est postérieure à celle du certificat ca lui-même.

    Les valeurs appropriées ne peuvent être réellement déterminées que par votre organisation et votre politique de sécurité, mais généralement une autorité de certification racine aurait une durée de vie de certificat de 10 ou 20 ans.

    Si vous êtes préoccupé par la compatibilité, définissez la date d'expiration en dessous de 2038. Cela est dû aux systèmes qui codent une donnée en secondes depuis le 1er janvier 1970 sur un entier signé de 32 bits. En savoir plus sur ce problème ici.

    Choisir un hachage

    Vous voudrez peut-être imiter la Federal PKI Management Authority et configurer deux racines PKI. Un SHA-256 moderne pour tous les appareils qui le prennent en charge et un ancien SHA-1. Utilisez ensuite des certificats croisés pour mapper entre les deux déploiements.

    Authenticode et S/MIME avec hachage SHA2 ne sont pas pris en charge sur XP ou 2003

    "En ce qui concerne la prise en charge de SHA-224, SHA-224 offre moins de sécurité que SHA-256 mais prend la même quantité de ressources. De plus, SHA-224 n'est généralement pas utilisé par les protocoles et les applications. Les normes Suite B de la NSA ne l'incluent pas non plus." source

    "N'utilisez la suite SHA2 nulle part dans la hiérarchie de l'autorité de certification si vous envisagez de faire en sorte que XP fasse confiance au certificat, valide le certificat, utilise le certificat dans la validation en chaîne ou reçoive un certificat de l'autorité de certification. Même si XP SP3 permet la validation des certificats qui utilisent SHA2 dans la hiérarchie CA, et KB 968730 permet l'inscription limitée des certificats qui sont signés par une CA utilisant SHA2, toute utilisation de signatures discrètes bloque entièrement XP." (source)

    Choisir un fournisseur cryptographique

    Activer la génération de numéros de série aléatoires

    À partir de 2012, cela est requis si vous utilisez MD5 comme hachage. C'est toujours une bonne idée si SHA1 ou supérieur est utilisé. Consultez également ce "comment" pour Windows 2008R2 pour plus d'informations.

    Créer une déclaration de pratique de certificat

    Une déclaration de pratiques de certification est une déclaration des pratiques utilisées par le service informatique pour gérer les certificats qu'il délivre. Il décrit comment la politique de certification de l'organisation est interprétée dans le contexte de l'architecture du système de l'organisation et de ses procédures d'exploitation. Le service informatique est responsable de la préparation et du maintien de la déclaration de pratique du certificat. (la source)

    REMARQUE : Dans certaines situations, par exemple lorsque des signatures numériques sont utilisées dans des contrats contraignants, la déclaration de pratique du certificat peut également être considérée comme une déclaration légale concernant le niveau de sécurité fourni et les garanties utilisées pour établir et maintenir le niveau de sécurité. .

    Bonne pratique : bien qu'il soit possible de mettre du texte de forme libre dans ce champ (voir l'avis ci-dessous), la solution idéale est d'utiliser une URL. Cela permet à la stratégie d'être mise à jour sans réémettre les certificats, cela évite également le gonflement inutile du magasin de certificats.

    Politiques de certification

    Également connu sous le nom de politiques d'émission ou de politiques d'assurance (dans MSFT), il s'agit d'un OID auto-défini qui décrit le niveau de confiance que l'on doit accorder à votre certificat (élevé, moyen, faible, etc.). Consultez cette réponse StackExchange pour savoir comment utiliser correctement ce champ.

    Assurez-vous que les politiques d'application et les politiques EKU correspondent

    Les politiques d'application sont une convention Microsoft facultative. Si vous émettez des certificats qui incluent à la fois des stratégies d'application et des extensions EKU, assurez-vous que les deux extensions contiennent des identificateurs d'objet identiques.

    Activer la vérification de la liste de révocation de certificats

    Normalement, une autorité de certification Windows Server 2003 vérifie toujours la révocation de tous les certificats de la hiérarchie PKI (à l'exception du certificat de l'autorité de certification racine) avant d'émettre un certificat d'entité finale. Pour désactiver cette fonctionnalité, utilisez la commande suivante sur l'autorité de certification, puis redémarrez le service de l'autorité de certification :

    Point de distribution de la liste de révocation de certificats

    Directives spéciales pour les autorités de certification racine

    Ceci est facultatif dans une autorité de certification racine, et si cela est fait de manière incorrecte, cela peut exposer votre clé privée.

    Toutes les publications de CRL sont effectuées manuellement à partir d'une RootCA hors ligne vers toutes les autres sous-CA. Une alternative consiste à utiliser un câble audio pour faciliter la communication unidirectionnelle de la racine aux sous-CA

    Il est parfaitement acceptable que l'autorité de certification racine émette différents emplacements de liste de révocation de certificats pour chaque certificat émis aux autorités de certification subordonnées.

    Avoir une liste de révocation de certificats à la racine est une bonne pratique si deux PKI se font confiance et que le mappage des politiques est effectué. Cela permet de révoquer le certificat.

    Obtenir la CRL "correcte" est assez important car c'est à chaque application de faire la vérification de la CRL. Par exemple, l'ouverture de session par carte à puce sur les contrôleurs de domaine applique toujours le contrôle de révocation et rejette un événement d'ouverture de session si le contrôle de révocation ne peut pas être effectué ou échoue.

    Remarque Si un certificat de la chaîne ne peut pas être validé ou est révoqué, la chaîne entière prend le statut de ce certificat.

    Une autorité de certification racine auto-signée ne doit répertorier aucun CDP. La plupart des applications Windows n'activent pas le drapeau CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT et ignorent donc le CDP (c'est le mode de validation par défaut). Si l'indicateur est activé et que le CDP est vide pour le certificat racine auto-signé, aucune erreur n'est renvoyée.

    N'utilisez pas HTTPS et LDAPS. Ces URL ne sont plus prises en charge en tant que références de point de distribution. La raison en est que les URL HTTPS et LDAPS utilisent des certificats qui peuvent ou non être révoqués. Le processus de vérification de révocation peut entraîner des boucles de révocation lorsque des URL HTTPS ou LDAPS sont utilisées. Pour déterminer si le certificat est révoqué, la CRL doit être récupérée. Cependant, la CRL ne peut pas être récupérée à moins que l'état de révocation des certificats utilisés par HTTPS ou LDAPS ne soit déterminé.

    Envisagez d'utiliser HTTP au lieu de LDAP. Bien que AD DS permette la publication de listes de révocation de certificats sur tous les contrôleurs de domaine de la forêt, implémentez HTTP au lieu de LDAP pour la publication des informations de révocation. Seul HTTP permet l'utilisation des en-têtes ETag et Cache-Control: Max-age offrant une meilleure prise en charge des proxys et des informations de révocation plus opportunes. De plus, HTTP offre une meilleure prise en charge hétérogène, car HTTP est pris en charge par la plupart des clients Linux, UNIX et des périphériques réseau.

    Une autre raison de ne pas utiliser LDAP est que la fenêtre de révocation est plus petite. Lors de l'utilisation d'AD LDAP pour répliquer les informations CA, la fenêtre de révocation ne pouvait pas être inférieure au temps nécessaire à tous les sites d'AD pour obtenir la mise à jour CA. Souvent, cette réplication peut prendre jusqu'à 8 heures. c'est 8 heures jusqu'à ce que l'accès d'un utilisateur de carte à puce soit révoqué. 'À faire : le nouveau temps d'actualisation de la liste de révocation de certificats recommandé est : . `

    Rendre toutes les URL hautement disponibles (c'est-à-dire ne pas inclure LDAP pour les hôtes externes). Windows ralentira le processus de validation jusqu'à 20 secondes et réessayera la connexion échouée à plusieurs reprises au moins aussi fréquemment que toutes les 30 minutes. Je soupçonne que la pré-extraction provoquera ce problème même si l'utilisateur n'utilise pas activement le site.

    Surveillez la taille de votre CRL. Si l'objet CRL est si volumineux que CryptoAPI n'est pas en mesure de télécharger l'objet dans le délai d'expiration maximal alloué, une erreur « révocation hors ligne » est renvoyée et le téléchargement de l'objet est terminé.

    Remarque : la distribution CRL sur HTTP avec prise en charge ETAG peut entraîner des problèmes avec IE6 lors de l'utilisation de Windows 2003 / IIS6, où la connexion TCP est continuellement réinitialisée.

    • (Facultatif) Activer Freshest CRL : cette extension non critique répertorie les émetteurs et les emplacements à partir desquels récupérer les delta CRL. Si l'attribut "Freshest CRL" n'est pas présent dans la CRL ni dans le certificat, la CRL de base sera alors traitée comme une CRL normale, et non comme faisant partie d'une paire de CRL de base/delta CRL.

    L'autorité de certification Microsoft n'insère pas l'extension « Freshest CRL » dans les certificats émis. Cependant, il est possible d'ajouter l'extension « Freshest CRL » à un certificat émis. Vous devrez écrire du code pour l'ajouter à la demande, écrire un module de stratégie personnalisé ou utiliser certutil –setextension sur une demande en attente. Pour plus d'informations sur l'inscription avancée des certificats, consultez la documentation « Advanced Certificate Enrollment and Management » sur le site Web de Microsoft.

    Avertissement Si les CRL delta sont activées au niveau d'une autorité de certification, la CRL de base et la CRL delta doivent être inspectées pour déterminer l'état de révocation du certificat. Si l'un des deux, ou les deux, ne sont pas disponibles, le moteur de chaînage signalera que l'état de révocation ne peut pas être déterminé et une application peut rejeter le certificat.

    Dimensionnement et maintenance des CRL (Cloisonnement des CRL)

    La liste de révocation de certificats augmentera de 29 octets pour chaque certificat révoqué. En conséquence, les certificats révoqués seront supprimés de la CRL lorsque le certificat atteint sa date d'expiration d'origine.

    Étant donné que le renouvellement d'un certificat CA entraîne la génération d'une nouvelle liste de révocation de certificats/vide, les autorités de certification émettrices peuvent envisager de renouveler l'autorité de certification avec une nouvelle clé tous les 100 à 125 000 certificats afin de maintenir une taille de liste de révocation de certificats raisonnable. Ce numéro d'émission est basé sur l'hypothèse qu'environ 10 pour cent des certificats émis seront révoqués avant leur date d'expiration naturelle. Si le taux de révocation réel ou prévu est supérieur ou inférieur pour votre organisation, ajustez la stratégie de renouvellement des clés en conséquence. Plus d'informations

    Envisagez également de partitionner la liste de révocation de certificats plus fréquemment si l'expiration est supérieure à un ou deux ans, car la probabilité de révocation augmente.

    L'inconvénient est l'augmentation des temps de démarrage, car chaque certificat est validé par le serveur.

    Précautions de sécurité de la CRL

    Si vous utilisez une CRL, ne signez pas la CRL avec MD5. C'est aussi une bonne idée d'ajouter la randomisation à la clé de signature CRL.

    Accès aux informations de l'autorité

    Ce champ permet au sous-système de validation de certificat de télécharger des certificats supplémentaires si nécessaire s'ils ne résident pas sur l'ordinateur local.

    Une autorité de certification racine auto-signée ne doit répertorier aucun emplacement AIA (voir la raison ici)

    Un maximum de cinq URL est autorisé dans l'extension AIA pour chaque certificat de la chaîne de certificats. En outre, un maximum de 10 URL pour l'ensemble de la chaîne de certificats est également pris en charge. Cette limitation du nombre d'URL a été ajoutée pour atténuer l'utilisation potentielle des références « Authority Info Access » dans les attaques par déni de service.

    Ne pas utiliser HTTPS et LDAPS. Ces URL ne sont plus prises en charge en tant que références de point de distribution. La raison en est que les URL HTTPS et LDAPS utilisent des certificats qui peuvent ou non être révoqués. Le processus de vérification de révocation peut entraîner des boucles de révocation lorsque des URL HTTPS ou LDAPS sont utilisées. Pour déterminer si le certificat est révoqué, la CRL doit être récupérée. Cependant, la CRL ne peut pas être récupérée à moins que l'état de révocation des certificats utilisés par HTTPS ou LDAPS ne soit déterminé.

    Activer la validation OCSP

    Le répondeur OCSP se trouve classiquement à l'adresse : http://<fqdn du répondeur ocsp>/ocsp . Cette URL doit être activée dans l'AIA. Consultez ces instructions pour Windows.

    Sachez que la validation OCSP complète est désactivée par défaut (bien qu'elle doive être "on" pour les certificats EV selon la spécification). De plus, l'activation de la vérification OCSP ajoute de la latence à la connexion initiale

    Durée du cache OCSP

    Toutes les actions OCSP se produisent sur le protocole HTTP et sont donc soumises aux règles de cache de proxy HTTP typiques.

    Plus précisément, l'en-tête Max-age définit la durée maximale pendant laquelle un serveur proxy ou un client mettra en cache une réponse CRL ou OCSP avant d'utiliser un GET conditionnel pour déterminer si l'objet a changé. Utilisez ces informations pour configurer le serveur Web afin de définir les en-têtes appropriés. Recherchez ailleurs sur cette page les commandes spécifiques à AD-IIS pour cela.

    Définir une politique dans les certificats émis

    L'AC parent définit s'il faut ou non autoriser les politiques de certificat d'AC des sous-AC. Il est possible de définir ce paramètre lorsqu'un émetteur ou une politique d'application doit être inclus dans une sous-AC.

    Les exemples de stratégies incluent un EKU pour les cartes à puce, l'authentification ou l'authentification SSL/serveur.

    Méfiez-vous des certificats sans l'extension des stratégies de certificat car cela peut compliquer l'arborescence des stratégies. Voir RFC 5280 pour plus d'informations

    Sachez que les mappages de stratégies peuvent remplacer d'autres stratégies dans le chemin

    Il existe une politique spéciale appelée anypolicy qui modifie le traitement

    Il y a des extensions qui modifient n'importe quelle politique

    Si vous utilisez des stratégies de certificat, assurez-vous de les marquer comme critiques, sinon le valid_policy_tree calculé devient vide, transformant la stratégie en un commentaire glorifié.

    Surveiller l'application de la longueur du DN

    La spécification originale du CCITT pour le champ OU indique qu'il devrait être limité à 64 caractères. Normalement, l'autorité de certification applique les normes de longueur de nom x.500 sur l'extension du sujet des certificats pour toutes les demandes. Il est possible que les chemins d'OU profonds dépassent les restrictions de longueur normales.

    Points de distribution de certificats croisés

    Cette fonctionnalité aide là où les environnements doivent avoir deux PKI installées, une pour le matériel/logiciel hérité qui ne prend pas en charge la cryptographie moderne, et une autre PKI à des fins plus modernes.

    Restreindre l'EKU

    Contrairement à la RFC 5280 qui stipule "en général, [sic] l'extension EKU n'apparaîtra que dans les certificats d'entité finale". C'est une bonne idée de mettre des contraintes sur l'utilisation de la clé CA.

    Un certificat CA autonome typique contiendra des autorisations pour créer des signatures numériques, une signature de certificat et une signature CRL en tant que valeurs de clé. Cela fait partie du problème avec le problème de sécurité FLAME.

    • EKU de carte à puce Microsoft
    • Cryptographie à clé publique pour l'authentification client EKU d'authentification initiale (PKINIT), telle que définie dans PKINIT RFC 4556

    Il présente également des contraintes intéressantes autour de la validation d'EKU (lien à déterminer).

    Si vous souhaitez avoir des restrictions EKU, vous devriez voir cette réponse concernant les OID et celle concernant les certificats contraints

    Soyez prudent avec les contraintes de base "Path"

    Subordination qualifiée pour les CA intermédiaires

    Pour limiter les types de certificats qu'une sous-CA peut offrir voir ce lien, et celui-ci

    Si une subordination qualifiée est effectuée, la révocation d'une racine signée croisée peut être difficile car les racines ne mettent pas à jour les CRL fréquemment.

    Identifiant de clé d'autorité / Identifiant de clé de sujet

    Remarque Si l'extension AKI d'un certificat contient un KeyID, CryptoAPI exige que le certificat de l'émetteur contienne un SKI correspondant. Cela diffère de la RFC 3280 où la correspondance SKI et AKI est facultative. (à faire : Pourquoi quelqu'un choisirait-il de mettre cela en œuvre ?)

    Donnez à la racine et à l'autorité de certification un nom significatif

    Les utilisateurs interagiront avec votre certificat lors de son importation, de son examen des certificats importés et du dépannage. La pratique et l'exigence recommandées par MSFT sont que la racine ait un nom significatif qui identifie votre organisation et non quelque chose d'abstrait et commun comme CA1.

    Cette partie suivante s'applique aux noms des intermédiaires/sous-CA qui seront contraints dans un but particulier : authentification vs signature vs cryptage

    Étonnamment, les utilisateurs finaux et les techniciens qui ne comprennent pas les nuances de PKI interagiront avec les noms de serveur que vous choisissez plus souvent que vous ne le pensez si vous utilisez S/MIME ou des signatures numériques (etc.).

    Personnellement, je pense que c'est une bonne idée de renommer les certificats émetteurs en quelque chose de plus convivial tel que "Company Signer 1" où je peux dire en un coup d'œil

    • De qui viendra la signature (Texas A&M ou son rival)
    • A quoi cela sert? Cryptage vs signature

    Il est important de faire la différence entre un message qui a été crypté entre deux parties et un qui a été signé. Un exemple où cela est important est si je peux faire en sorte que le destinataire fasse écho à une déclaration que je lui envoie. L'utilisateur A pourrait dire à l'utilisateur B "A, je vous dois 100$". Si B a répondu avec un écho de ce message avec la mauvaise clé, alors ils ont effectivement notarié numériquement (au lieu de simplement crypter) une dette fictive de 100 $.

    Voici un exemple de boîte de dialogue utilisateur pour S/MIME. Attendez-vous à des interfaces utilisateur similaires pour les certificats basés sur le navigateur. Remarquez que le nom de l'émetteur n'est pas convivial.

    Encodages alternatifs

    Remarque : En parlant de noms, si un maillon de la chaîne utilise un autre codage, les clients peuvent ne pas être en mesure de vérifier le champ de l'émetteur pour le sujet. Windows ne normalise pas ces chaînes lors d'une comparaison, assurez-vous donc que les noms de l'autorité de certification sont identiques d'un point de vue binaire (par opposition à la recommandation RFC).

    Déploiements Haute Sécurité/Suite B

    SECRET DE L'ALGORITHME TOP SECRET

    Cryptage : Advanced Standard (AES) 128 bits 256 bits

    Signature numérique : Algorithme de signature numérique à courbe elliptique (ECDSA) courbe de 256 bits. 384 bit curve

    Key Exchange: Elliptic Curve Diffie-Hellman (ECDH) 256 bit curve. 384 bit curve

    Hashing: Secure Hash Algorithm (SHA) SHA-256 SHA-384

    For Suite B compliance, the ECDSA_P384#Microsoft Software Key Service Provider as well as the 384 key size and SHA384 as the hash algorithm may also be selected if the level of classification desired is Top Secret. The settings that correspond with the required level of classification should be used. ECDSA_P521 is also available as an option. While the use of a 521 bit ECC curve may exceed the cryptographic requirements of Suite B, due to the non-standard key size, 521 is not part of the official Suite B specification.

    XP clients and many non-windows systems do not support this new signature format. This should be disabled if older clients need to be supported. More Info

    I would only recommend using it once you move to ECC algorithms for asymmetric encryption. (source)

    Protect Microsoft CA DCOM ports

    The Windows Server 2003 CA does not enforce encryption on the ICertRequest or ICertAdmin DCOM interfaces by default. Normally, this setting is not required except in special operational scenarios and should not be enabled. Only Windows Server 2003 machines by default support DCOM encryption on these interfaces. For example, Windows XP clients will not by default enforce encryption on certificate request to a Windows Server 2003 CA. source

    CNG private key storage vs CSP storage

    If you enroll Certificate Template v3, the private key goes into the CNG private key storage on the client computer. If you enroll Certificate Template v2 or v1, the private key goes into CSP storage. The certificates will be visible to all applications in both cases, but not their private keys - so most applications will show the certificate as available, but will not be able to sign or decrypt data with the associated private key unless they support CNG storage.

    You cannot distinguish between CNG and CSP storages by using the Certificate MMC. If you want to see what storage a particular certificate is using, you must use CERTUTIL -repairstore my * (or CERTUTIL -user -repairstore my * ) and take a look at the Provider field. If it is saying ". Key Storage Provider", than it is CNG while all other providers are CSP.

    If you create the initial certificate request manually (Create Custom Request in MMC), you can select between "CNG Storage" and "Legacy Key" where legacy means CSP. The following is my experience-based list of what does not support CNG - you cannot find an authoritative list anywhere, so this arrises from my investigations over time:

    EFS Not supported in Windows 2008/Vista, Supported in Windows 7/2008R2

    user encryption certificates

    VPN/WiFi Client (EAPTLS, PEAP Client)

    Windows 2008/7 Not supported with user or computer certificate authentication

    TMG 2010 server certificates on web listeners

    Outlook 2003 user email certificates for signatures or encryption

    Kerberos Windows 2008/Vista- DC certificates

    System Center Operations Manager 2007 R2

    System Center Configuration Manager 2007 R2

    Forefront Identity Manager 2010 Certificate Management

    More information on CNG compatibility is listed here (in Czech, though Chrome handles the auto-translation well)

    Smart Cards & Issuing CAs

    If you plan on giving users a second smart card for authentication, use a second issuer CA for that. Reason: Windows 7 requirements

    Use the Windows command CERTUTIL -viewstore -enterprise NTAuth for troubleshooting Smartcard logins. The local NTAuth store is the result of the last Group Policy download from the Active Directory NTAuth store. It is the store used by smart card logon, so viewing this store can be useful when troubleshooting smart card logon failures.

    Decommissioning a PKI Tree

    If you deploy two PKI trees, with the intent to decommission the legacy tree at some point (where all old devices have become obsolete or upgraded) it may be a good idea to set the CRL Next Update field to Null. This will (should?) prevent the continual polling for new CRLS to the clients. The reasoning is that once the PKI is decommissioned, there will be no more administration, and no more revoked certs. All remaining certs are simply left to expire.


    The answer to your question is Yes. You must convert the X.509 into a PFX and import it. There is no separate key store in Windows.

    You can convert your certificate using OpenSSL with the following command:

    In Windows, you pouvez have private keys "by themselves". Programmatically, you use CryptAquireContext() to access a key "by name". The CryptoAPI contains many functions which allow you to import and use keys, independently of certificates.

    However, there is no existing graphical interface or file format for handling private keys, and applications do not use keys by name. They use certificates. Certificates, in Windows, are stored "elsewhere", but each certificate in the "My" store can optionally contain a link to a corresponding private key (the link would really be a CSP name, and name of a container within that CSP). This maps to what is expected in various protocols. For instance, in SSL, when the server requests a client authentication with a private key, it actually asks for a certificate: the client must present a certificate, and then, only then, demonstrate that it also has access to the corresponding private key.

    Thus, in practice, certificates and keys "live together" and keys are reached only through certificates. A certificate and its private key travel together, and this means a PKCS#12 file (aka "PFX").


    The easiest way is running xelatex instead of pdflatex . It detects itself PostScript code or eps images in the document and does the conversion on the fly. If you do not want to use xelatex then there are other solutions:

    If you have an up-to-date TeX distribution use

    and then run your document with pdflatex -shell-escape <file> . Then the PSTricks images are created on-the-fly as stand alone pdf images and saved in <file>-pics.pdf . If you have an older system use

    For Windows you have to install a Perl version, if you want to use the full power of the auto-pst-pdf package. However, if you do not want or cannot install Perl then use

    There is also a Perl script pst2pdf which can create the document with pdflatex and also the PSTricks images as pdf|png|whatever images. It takes the preamble of the main document and creates stand-alone-documents for all PostScript specific code.


    ProxyCommnad

    So for a concrete example, say you have access to a server with IP 0.0.1.2 with a user account named bar (Server C). But to get to it you have to first login to a server with IP 0.0.1.1 with user account named foo (Server B). Now you want to copy file baz.txt located on your current machine (Machine A) to server 0.0.1.2 's /home/bar/ directory. To use the above ProxyCommand for this example you would execute the following:

    You can also just as easily copy a file from Server C by switching the order of the file and destination. So for example, if baz.txt was already on server 0.0.1.2 located at /home/bar/ then you could copy it to your machine using:

    Hope this helps people that need things spelled out for them a bit more than others.


    There are three types of certificate stores in Windows.

    Each of the three stores contain a number of folders which certificates go into

    • Personal (can be known as My when using scripts to add certs)
    • Trusted Root Certification Authority (can be known as Root)
    • Enterprise Trust
    • Intermediate Certification Authority
    • Active Directory User Object
    • Trusted Publishers
    • Untrusted Certificates
    • Third Party Root Certification Authorities
    • Trusted People

    These can be seen if you open up an mmc.exe with the Certificates snapin.

    Depending on what the certificate is meant to be doing you have to work out where it would go.

    Most of the time on the servers we support we use the Computer Account store (as its accessible by all users on a Computer) and put certificates in the Personal store. Some times you might need to add in the signing authority public key certs into the Root and Intermediate Root CAs.


    Voir la vidéo: Install configure and federate ArcGIS Server