Catégorie : Dépannage

La demande d'un certificat via les Certificate Enrollment Web Services échoue avec le message d'erreur "Error : A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)".

Supposons le scénario suivant :

  • Un utilisateur demande un certificat.
  • Une Enrollment Policy est configurée à cet effet, qui renvoie à un Certificate Enrollment Policy Web Service (CEP).
  • L'authentification se fait via Kerberos.
  • La demande de certificat est effectuée par le serveur CEP lui-même.
  • La connexion au CEP échoue et l'utilisateur reçoit le message d'erreur suivant : 
Error: A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)
Continuer la lecture de « Die Beantragung eines Zertifikats über die Certificate Enrollment Web Services schlägt fehl mit Fehlermeldung „Error: A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)“ »

La demande d'un certificat via les Certificate Enrollment Web Services échoue avec le message d'erreur "Error : The operation timed out 0x80072ee2 (WinHttp : 12002 ERROR_WINHTTP_TIMEOUT)".

Supposons le scénario suivant :

  • Un utilisateur demande un certificat.
  • Une Enrollment Policy est configurée à cet effet, qui renvoie à un Certificate Enrollment Policy Web Service (CEP).
  • La connexion au CEP échoue et l'utilisateur reçoit le message d'erreur suivant :
Error: The operation timed out 0x80072ee2 (WinHttp: 12002 ERROR_WINHTTP_TIMEOUT)
Continuer la lecture de « Die Beantragung eines Zertifikats über die Certificate Enrollment Web Services schlägt fehl mit Fehlermeldung „Error: The operation timed out 0x80072ee2 (WinHttp: 12002 ERROR_WINHTTP_TIMEOUT)“ »

Suppression (en masse) d'entrées dans la base de données des autorités de certification (certificats, exigences, listes de révocation)

Il arrive parfois que la base de données de l'autorité de certification devienne extrêmement volumineuse. Il se peut qu'un grand nombre de demandes de certificats soient arrivées et aient été refusées sans que l'on s'en aperçoive, ou que la base de données contienne de nombreux certificats qui ont été émis en double. Avant que la base de données de l'autorité de certification compacté Pour que la base de données puisse être utilisée de manière optimale, ces entrées doivent d'abord être supprimées afin de libérer de l'espace dans la base de données.

Continuer la lecture de « (Massenhaftes) Löschen von Einträgen in der Zertifizierungsstellen-Datenbank (Zertifikate, Anforderungen, Sperrlisten) »

Consultation du tableau des listes de blocage de la base de données des autorités de certification

Par défaut, l'autorité de certification enregistre toutes les listes de révocation qui n'ont pas encore expiré dans la base de données de l'autorité de certification.

Dans certaines circonstances, par exemple à cause d'un script mal configuré, de très nombreuses listes de blocage sont ainsi enregistrées dans la base de données, ce qui peut entraîner une croissance correspondante de la base de données (par exemple si de grandes listes de blocage sont recréées très souvent).

Continuer la lecture de « Einsicht in die Sperrlisten-Tabelle der Zertifizierungsstellen-Datenbank »

La configuration des rôles pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le message d'erreur "Failed to enroll RA certificates. Le serveur RPC est indisponible. 0x800706ba (Win32 : 1722 RPC_S_SERVER_UNAVAILABLE)"

Supposons le scénario suivant :

  • On installe un serveur NDES (Network Device Enrollment Service)
  • On dispose des autorisations nécessaires pour installer le rôle (administrateur local, administrateur d'entreprise).
  • La configuration des rôles échoue avec le message d'erreur suivant : 
Failed to enroll RA certificates. The RPC Server is unavailable. 0x800706ba (Win32: 1722 RPC_S_SERVER_UNAVAILABLE)
Continuer la lecture de « Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung „Failed to enroll RA certificates. The RPC Server is unavailable. 0x800706ba (Win32: 1722 RPC_S_SERVER_UNAVAILABLE)“ »

La configuration des rôles pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le message d'erreur "Failed to enroll RA certificates. Le point de terminaison est un doublon. 0x800706cc (WIN32 : 1740 RPC_S_DUPLICATE_ENDPOINT)"

Supposons le scénario suivant :

  • On installe un serveur NDES (Network Device Enrollment Service).
  • On dispose des autorisations nécessaires pour installer le rôle (administrateur local, administrateur d'entreprise).
  • La configuration des rôles échoue avec le message d'erreur suivant : 
Failed to enroll RA certificates. The endpoint is a duplicate. 0x800706cc (WIN32: 1740 RPC_S_DUPLICATE_ENDPOINT)
Continuer la lecture de « Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung „Failed to enroll RA certificates. The endpoint is a duplicate. 0x800706cc (WIN32: 1740 RPC_S_DUPLICATE_ENDPOINT)“ »

La configuration des rôles pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le message d'erreur "Insufficient access rights to perform this operation. 0x80072098 (WIN32 : 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)".

Supposons le scénario suivant :

  • On installe un serveur NDES (Network Device Enrollment Service).
  • La configuration des rôles échoue avec le message d'erreur suivant :
Insufficient access rights to perform this operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS
Continuer la lecture de « Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung „Insufficient access rights to perform this operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)“ »

Consultation de la liste des certificats du répondeur en ligne (OCSP) et vérification des certificats de signature

Il est parfois nécessaire de vérifier un certificat de signature d'un répondeur en ligne, par exemple lorsque la connexion au module de sécurité matériel (HSM) (s'il existe) doit être vérifiée. Lorsque les certificats sont récupérés automatiquement auprès d'une autorité de certification, le répondeur en ligne utilise son propre magasin de certificats.

Continuer la lecture de « Einsicht in den Zertifikatspeicher des Onlineresponders (OCSP) und Überprüfung der Signaturzertifikate »

certutil -dcinfo échoue avec le message d'erreur "KDC certificates : Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)"

Supposons le scénario suivant :

  • Les contrôleurs de domaine disposent de certificats pour LDAP sur SSL.
  • Les certificats ne comprennent pas l'utilisation de la clé étendue "Smart Card Logon" ni "Kerberos Authentication".
  • Si l'on exécute certutil -dcinfo, la commande affiche le message d'erreur suivant :
0 KDC certificates for DC01
No KDC Certificate in MY store
KDC certificates: Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)
Continuer la lecture de « certutil -dcinfo schlägt fehl mit Fehlermeldung „KDC certificates: Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)“ »

La publication d'une liste de révocation de certificats (CRL) échoue avec le message d'erreur "Access is denied. 0x80070005 (WIN32 : 5 ERROR_ACCESS_DENIED)".

Supposons le scénario suivant :

  • On crée une nouvelle liste de blocage sur l'autorité de certification.
  • L'autorité de certification est configurée pour publier des listes de révocation dans un chemin réseau.
  • La publication échoue avec le message d'erreur suivant :
Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
Continuer la lecture de « Die Veröffentlichung einer Zertifikatsperrliste (CRL) schlägt fehl mit Fehlermeldung „Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)“ »

La publication d'une liste de révocation de certificats (CRL) échoue avec le message d'erreur "The directory name is invalid. 0x8007010b (WIN32/HTTP : 267 ERROR_DIRECTORY)"

Supposons le scénario suivant :

  • On crée une nouvelle liste de blocage sur l'autorité de certification.
  • La publication échoue avec le message d'erreur suivant :
The directory name is invalid. 0x8007010b (WIN32/HTTP: 267 ERROR_DIRECTORY)
Continuer la lecture de « Die Veröffentlichung einer Zertifikatsperrliste (CRL) schlägt fehl mit Fehlermeldung „The directory name is invalid. 0x8007010b (WIN32/HTTP: 267 ERROR_DIRECTORY)“ »

Désactiver le module de sortie SMTP d'une autorité de certification

Supposons le scénario suivant :

  • L'autorité de certification est configurée uniquement pour utiliser le module de sortie SMTP afin d'envoyer des notifications par e-mail sur les événements survenus sur l'autorité de certification.
  • Le serveur SMTP configuré n'est pas accessible, par exemple en raison d'une panne.

Dans ce cas, le module de sortie ne peut pas délivrer les notifications par e-mail. Il se met en time-out et l'autorité de certification ne fonctionnera plus que très lentement.

Continuer la lecture de « Deaktivieren des SMTP Exit-Moduls einer Zertifizierungsstelle »

Le répondeur en ligne (OCSP) demande de nouveaux certificats de signature toutes les quatre heures

Supposons le scénario suivant :

  • Les répondeurs en ligne sont configurés pour demander des certificats de signature à partir d'un modèle de certificat d'une autorité de certification intégrée à Active Directory.
  • Les répondeurs en ligne demandent un nouveau certificat de signature à intervalles réguliers (toutes les quatre heures), bien que le certificat existant soit encore valable suffisamment longtemps.
Continuer la lecture de « Der Onlineresponder (OCSP) beantragt alle vier Stunden neue Signaturzertifikate »

La demande de certificat échoue avec le message d'erreur "A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)".

Le scénario suivant :

  • Un utilisateur obtient un certificat auprès d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • Le certificat de l'autorité de certification est fiable, c'est-à-dire qu'il se trouve dans le magasin des autorités de certification racine de confiance (Trusted Root Certification Authorities).
  • La demande de certificat échoue avec le message d'erreur suivant :
A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung „A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)“ »

La demande de certificat échoue avec le message d'erreur "The requested operation cannot be completed. The computer must be trusted for delegation and the current user account must be configured to allow delegation. 0x80090345 (-2146892987 SEC_E_DELEGATION_REQUIRED).". Lors de l'importation de fichiers PFX, la clé privée est manquante.

Le scénario suivant :

  • L'importation d'un fichier PFX semble réussie, mais la clé privée manque ensuite. Une vérification avec certutil se solde par un message d'erreur "Missing stored keyset".
  • La demande d'un certificat sur un client échoue avec le message d'erreur suivant :
The requested operation cannot be completed. The computer must be trusted for delegation and the current user account must be configured to allow delegation. 0x80090345 (-2146892987 SEC_E_DELEGATION_REQUIRED).
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung „The requested operation cannot be completed. The computer must be trusted for delegation and the current user account must be configured to allow delegation. 0x80090345 (-2146892987 SEC_E_DELEGATION_REQUIRED).“. Beim Import von PFX-Dateien fehlt der private Schlüssel. »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais