Catégorie : Dépannage

Les listes de blocage ne sont pas reconnues comme valides (uniquement) sous Windows (CRYPT_E_REVOCATION_OFFLINE)

Récemment, quelqu'un s'est adressé à moi avec un problème intéressant.

Une autorité de certification a été installée. Linux, c'est-à-dire (probablement) OpenSSL, sert de base. Les listes de blocage fonctionnent sur les clients Linux, mais ne sont pas acceptées par les systèmes Windows. Ici, le message d'erreur suivant apparaît toujours lorsque l'on vérifie les listes de blocage.

0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE) -- 2148081683 (-2146885613)
Text der Fehlermeldung: Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war.

En anglais, le message d'erreur est le suivant :

0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE) -- 2148081683 (-2146885613)
The revocation function was unable to check revocation because the revocation server was offline.
Continuer la lecture de « Sperrlisten werden (nur) auf Windows nicht als gültig erkannt (CRYPT_E_REVOCATION_OFFLINE) »

L'inscription par carte à puce échoue avec un message d'erreur "A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)".

Supposons le scénario suivant :

  • L'entreprise souhaite utiliser la connexion par carte à puce.
  • Les contrôleurs de domaine sont avec des certificats utilisables pour l'inscription par carte à puce équipée.
  • Les utilisateurs sont munis de certificats utilisables pour la connexion par carte à puce.
  • La connexion au domaine par carte à puce échoue avec le message d'erreur suivant :
A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)
Continuer la lecture de « Smartcard-Anmeldung schlägt fehl mit Fehlermeldung „A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)“ »

Combien de noms alternatifs (Subject Alternative Name, SAN) sont pris en charge par Active Directory Certificate Services ?

Comme tout logiciel les services de certificats Microsoft Active Directory sont également soumis à certaines limitesLes produits de la marque sont soumis à des contraintes imposées par leur conception.

Il n'est pas aussi évident de répondre à la question de savoir combien de Noms alternatifs des demandeurs (Subject Alternative Name, SAN) être délivrés avec l'autorité de certification Microsoft.

L'IETF RFC 5280 décrit la structure pour les Subject Alternative Names comme suit :

SubjectAltName ::= GeneralNames
Continuer la lecture de « Wie viele Alternative Antragstellernamen (engl. Subject Alternative Name, SAN) unterstützen die Active Directory Certificate Services? »

Vérification de l'intégrité des sauvegardes de la base de données des autorités de certification

Dans le cadre de la création d'une Sauvegarde (backup) d'une autorité de certification peut soulever la question de savoir comment s'assurer que l'intégrité de la sauvegarde de la base de données de l'autorité de certification est garantie, de sorte qu'en cas d'urgence, elle soit correctement rétabli peut être.

La base de données des organismes de certification est Moteur de base de données Microsoft JET Blue (également connu sous le nom de Moteur de stockage extensible, ESE) abgebildet. Deren Arbeits- und Sicherungsdateien haben die Endung .edb und können mit dem Betriebssystem-Werkzeug esentutl sont gérés.

Continuer la lecture de « Prüfen der Integrität von Sicherungen der Zertifizierungsstellen-Datenbank »

Impossible d'envoyer des messages cryptés S/MIME avec Outlook pour iOS : "There's a problem with one of your S/MIME encryption certificates".

Supposons le scénario suivant :

There's a problem with one of your S/MIME encryption certificates. Contact your IT help desk for more info.
Es gibt ein Problem mit einem ihrer S/MIME-Verschlüsselungszertifikate. Wenden Sie sich für weitere Informationen an Ihren IT-Helpdesk.
Continuer la lecture de « Das Senden von S/MIME verschlüsselten Nachrichten mit Outlook for iOS ist nicht möglich: „There’s a problem with one of your S/MIME encryption certificates.“ »

Les connexions via le serveur de stratégie réseau (NPS) échouent avec la raison suivante : "Authentication failed due to a user credentials mismatch. Soit le nom d'utilisateur fourni ne correspond pas à un compte utilisateur existant, soit le mot de passe était incorrect".

Supposons le scénario suivant :

  • Une connexion basée sur un certificat est effectuée avec des comptes d'utilisateur ou d'ordinateur pour les connecter à un réseau sans fil (IEEE 802.11 ou Wireless LAN) ou câblé (IEEE 802.3), ou une connexion d'accès à distance (par ex. DirectAccess, Routing and Remote Access (RAS), VPN toujours en ligne).
  • L'entreprise utilise comme serveur d'authentification, d'autorisation et de comptabilité (AAA) le Serveur de politiques de réseau (en anglais Network Policy Server NPS) de Microsoft.
  • La connexion au réseau n'est plus possible.
  • Le serveur de stratégie réseau consigne l'événement suivant lorsqu'une tentative de connexion est effectuée :
Network Policy Server denied access to a user. [...] Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user account or the password was incorrect.
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert. [...] Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.
Continuer la lecture de « Anmeldungen über den Netzwerkrichtlinienserver (engl. Network Policy Server, NPS) scheitern mit Grund „Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user account or the password was incorrect.“ »

Impossible d'installer le service d'enregistrement des périphériques réseau (NDES) sur un site dont les contrôleurs de domaine sont en lecture seule.

Supposons le scénario suivant :

  • Un service d'enregistrement des périphériques réseau (NDES) doit être mis en œuvre sur le réseau.
  • Sur le site Active Directory du serveur NDES, il n'y a que des contrôleurs de domaine en lecture seule (angl. Read Only Domain Controller, RODC).
  • La configuration du rôle NDES échoue avec le message d'erreur suivant :
Failed to add the following certificate templates to the enterprise Active Directory Certificate Service or update security settings on those templates:
EnrollmentAgentOffline 
CEPEncryption
IPSEC(Offline request)
A referral was returned from the server. 0x8007202b (WIN32:8235 ERROR_DS_REFERRAL)
Continuer la lecture de « Keine Installation des Registrierungsdienstes für Netzwerkgeräte (NDES) an einem Standort mit nur schreibgeschützten Domänencontrollern möglich »

Le renouvellement d'un certificat via le service d'enregistrement des périphériques réseau (NDES) échoue avec le code d'erreur CERT_E_UNTRUSTEDCA

Supposons le scénario suivant :

  • Un certificat est demandé via le service d'enregistrement des équipements de réseau (NDES).
  • Le mode de renouvellement est utilisé ici, c'est-à-dire que la demande de certificat est signée avec un certificat existant.
  • La demande du nouveau certificat échoue avec le message d'erreur suivant :
A certification chain processed correctly, but one of the CA
certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)
Continuer la lecture de « Die Erneuerung eines Zertifikats über den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlercode CERT_E_UNTRUSTEDCA »

L'installation d'un nouveau certificat d'autorité de certification échoue avec le code d'erreur "ERROR_INVALID_PARAMETER".

Supposons le scénario suivant :

  • Un nouveau certificat d'autorité de certification est demandé pour une autorité de certification subordonnée et délivré par l'autorité de certification supérieure.
  • Le site Subject Distinguished Name (DN de sujet) est identique à celui du certificat d'autorité de certification précédent.
  • Néanmoins, l'installation du certificat d'autorité de certification échoue avec le message d'erreur suivant :
An error was detected while configuring Active Directory Certificate Services.
The Active Directory Certificate Services Setup Wizard will need to be rerun to complete the configuration.
The new certificate subject name does not exactly match the active CA name.
Renew with a new key to allow minor subject name changes: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER).
Continuer la lecture de « Die Installation eines neuen Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlercode „ERROR_INVALID_PARAMETER“ »

Le Certificate Connector pour Microsoft Intune renvoie le message d'erreur "ArgumentException : String cannot be of zero length" lors de la configuration

Supposons le scénario suivant :

  • Un serveur NDES a été mis en place pour être utilisé avec Microsoft Intune.
  • La configuration de l'Intune Certificate Connector ne peut pas être terminée car le message d'erreur suivant est affiché :
Fehler bei der Microsoft Intune Certificate Connector Konfiguration. Es wurden keine Änderungen an Feature- oder Proxyeinstellungen vorgenommen.
Unerwarteter Fehler: System.ArgumentException: Die Zeichenfolge kann keine Länge von 0 (null) haben.
Parametername: name
  bei System.Security.Principal.NTAccount.ctor(String name)
Continuer la lecture de « Der Certificate Connector für Microsoft Intune wirft bei der Konfiguration die Fehlermeldung „ArgumentException: String cannot be of zero length“ »

Erreur de connexion avec Windows Hello for Business : "Contactez l'administrateur système et dites-lui que le certificat KDC n'a pas pu être vérifié".

Supposons le scénario suivant :

  • L'entreprise utilise Windows Hello for Business.
  • Les utilisateurs reçoivent le message d'erreur suivant lorsqu'ils se connectent au client :
Sign-in failed. Contact your system administrator and tell them that the KDC certificate could not be validated. Additional information may be available in the system event log.
Continuer la lecture de « Anmeldefehler mit Windows Hello for Business: „Wenden Sie sich an den Systemadministrator, und teilen Sie ihm mit, dass das KDC-Zertifikat nicht überprüft werden konnte.“ »

La vérification des certificats du contrôleur de domaine renvoie le code d'erreur ERROR_ACCESS_DENIED

Supposons le scénario suivant :

  • certutil permet de vérifier les certificats des contrôleurs de domaine.
  • L'opération échoue avec le message d'erreur suivant :
0: DC01

*** Testing DC[0]: DC01
Enterprise Root store: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
KDC certificates: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)

CertUtil: -DCInfo command FAILED: 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
CertUtil: Access is denied.
Continuer la lecture de « Die Überprüfung der Domänencontroller-Zertifikate wirft den Fehlercode ERROR_ACCESS_DENIED »

La demande de certificats avec des clés basées sur des courbes elliptiques échoue lors de l'utilisation du Microsoft Platform Crypto Provider

Supposons le scénario suivant :

Error: The requested operation is not supported. 0x80090029 (-2146893783 NTE_NOT_SUPPORTED)

Sur Windows Server 2016, le message d'erreur "No provider was specified for the store or object. 0x80092006 (-2146885626 CRYPT_E_NO_PROVIDER)" est affiché alors que le comportement est sinon identique.

Continuer la lecture de « Die Beantragung von Zertifikaten mit auf elliptischen Kurven basierenden Schlüsseln schlägt fehl, wenn der Microsoft Platform Crypto Provider verwendet wird »

Microsoft Outlook : les messages électroniques signés sont rejetés par le serveur de messagerie destinataire avec le message d'erreur "Invalid S/MIME encrypted message".

Supposons le scénario suivant :

  • Un utilisateur envoie un message électronique signé avec Secure/Multipurpose Internet Mail Extensions (S/MIME).
  • L'expéditeur utilise Microsoft Outlook pour Macintosh.
  • Le serveur de messagerie destinataire rejette le message et renvoie un rapport de non-livraison (NDR) :
550 5.6.0 M2MCVT.StorageError.Exception: ConversionFailedException - , Content conversion: Invalid S/MIME encrypted message.; storage error in content conversion.
Continuer la lecture de « Microsoft Outlook: Signierte E-Mail Nachrichten werden vom empfangenden Mailserver abgelehnt mit Fehlermeldung „Invalid S/MIME encrypted message.“ »

Que se passe-t-il si un utilisateur a demandé plusieurs certificats ?

J'ai récemment été confronté au phénomène suivant : en raison d'une logique de demande défectueuse, plusieurs utilisateurs avaient demandé de nouveaux certificats à intervalles réguliers.

Die Zertifikatvorlage war konfiguriert, eingehende Zertifikatanforderungen durch einen Zertifikatmanager freigeben zu lassen, d.h. es erfolgte keine automatische Ausstellung der Zertifikate. Die Zertifikatanforderungen sollten durch einen eigenen Code überprüft und anschließend freigegeben werden.

On pourrait s'attendre à ce que (puisque toutes les demandes de certificats sont finalement acceptées) les utilisateurs trouvent plusieurs certificats du même type dans leur liste de certificats (et dans les applications qui les utilisent). Or, ce n'est pas le cas.

Continuer la lecture de « Was passiert, wenn ein Benutzer mehrere Zertifikate beantragt hat? »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais