adcs

certutil ping

Written by  on Juli 21, 2018
certutil -config Contoso8321.example.com\ContosoCA01 -ping
Connecting to Contoso8321.example.com\ContosoCA01 ...
Server "ContosoCA01 " ICertRequest2 interface is alive
CertUtil: -ping command completed successfully.
Connecting to Contoso8321.example.com\ContosoCA01 ...
Server could not be reached: The RPC server is unavailable. 0x800706ba (WIN32: 1722)
CertUtil: -ping command FAILED: 0x800706ba (WIN32: 1722)
CertUtil: The RPC server is unavailable.
certutil -config - -ping  # Auswahl der Verfügbaren CAs

Berechtigung von Zertifikatsvorlagen exportieren

Written by  on Februar 11, 2018

Haben sich viele Berechtigungen auf eine Zertifikatsvorlage (Certificate Template) angesammelt, will man diese vielleicht auch Mal in eine Liste exportieren ohne diese abzutippen.
Das geht mit certutil.exe

certutil -template
...
    Allow Enroll        Domain\Domain Computers
    Allow Enroll        Domain\ComputerName$
...

Gültige CRLs in ADCS

Written by  on Juni 25, 2016

Microsoft ADCS speichert alle aktuell gültigen CRLs in der CA eigenen Datenbank.
Dieses Verhalten lässt sich auch ändern, wenn man alte CRLs für Audit-Zwecke braucht.

Anzeigen lassen kann man sich die CRLs mit

certutil -view crl

Interessante Quelle dazu

OCSP Responder Monitoring und die Nonce

Written by  on Februar 18, 2016

Eine Nonce, aus dem Englichen für “Number ONCE”, ist eine Nummer die nur ein Mal verwendet werden soll. Diese Nummer wird vom OCSP Client generiert, mit der Anfrage mitgeschickt. Der OCSP Responder muss den Wert in der signierten Antwort mitschicken, zur Bestätigung dass es sich tatsächlich um die entsprechende Antwort auf die Anfrage handelt. Das dient einerseits als Schutz vor einer Replay Attacke, hat aber auch den “Nachteil” dass die Antwort nicht gecached werden kann. Und genau das ist für ein Monitoring von Vorteil, weil damit erkannt werden kann, ob tatsächlich neue OCSP Responses erzeugt werden, und nicht nur irgendwelche Antworten aus einem Cache fallen.
In RFC5019 heißt es zur Nonce beim OCSP Responder, dass sich der Client nicht alleine auf den Nonce verlassen darf, sondern im Zweifelsfall auch noch den Timestamp prüfen muss.

Clients that opt to include a nonce in the request SHOULD NOT reject a corresponding OCSPResponse solely on the basis of the nonexistent expected nonce, but MUST fall back to validating the OCSPResponse based on time. Clients that do not include a nonce in the request MUST ignore any nonce that may be present in the response.

Microsoft zu OCSP, Nonce und Cache

Allow Nonce requests. This option instructs the Online Responder to inspect and process an OCSP request nonce extension. If a nonce extension is included in the OCSP request and this option is selected, the Online Responder will ignore any cached OCSP response and will create a new response that includes the nonce provided in the request. If this option is disabled and a request that includes a nonce extension is received, the Online Responder will reject the request with an “unauthorized” error.

Microsoft sagt in der gleichen Quelle übrigens, dass Microsoft Clients mit aktuellem Stand keine Nonce unterstützen

The Microsoft OCSP client does not support the nonce extension.

Symmetrisch vs. Asymmetrisch

Written by  on Oktober 28, 2015

Beispiele für symmetrische Verschlüsselungsalgorithmen

  • Data Encryption Standard (DES)
  • Rivest’s Cipher version 2 (RC2) (40 bit)
  • RC2 (128 bit)
  • RC4
  • Triple DES (3DES)
  • Advanced Encryption Standard (AES)

Beispiele für asymmetrische Verschlüsselungsalgorithmen

  • Diffie-Hellman Key Agreement
  • Rivest Shamir Adleman (RSA)
  • Digital Signature Algorithm (DSA)

Windows Server® 2008 PKI and Certificate Security (PRO-Other)