Catégorie : Dépannage

Code d'erreur HTTP 403 lors de la connexion à Internet Information Services (IIS) à l'aide d'un certificat client après le renouvellement du certificat du serveur web

Supposons le scénario suivant :

  • Un utilisateur ou une application consulte une page web ou une application web exécutée sur un serveur web Internet Information Services (IIS).
  • Le serveur web est configuré de telle sorte qu'un certificat client est demandé pour la ressource appelée.
  • Bien qu'il existe un certificat client valide sur le client, le code d'erreur 403 Forbidden est immédiatement renvoyé. L'utilisateur n'est pas invité à choisir un certificat (lors de l'ouverture de la page avec un navigateur).
  • Le certificat du serveur web a été récemment renouvelé et la liaison SSL IIS a été configurée en conséquence via le gestionnaire IIS.
403 - Forbidden: Access is denied.
You do not have permission to view this directory or page using the credentials that you supplied.
Continuer la lecture de « HTTP Fehlercode 403 bei Anmeldung mittels Client-Zertifikat an Internet Information Services (IIS) nach Erneuerung des Webserver-Zertifikats »

La demande de certificat échoue avec le message d'erreur „The request is missing required signature policy information. 0x80094809 (-2146875383 CERTSRV_E_SIGNATURE_POLICY_REQUIRED)“.“

Supposons le scénario suivant :

  • Un utilisateur envoie une demande de certificat à une autorité de certification.
  • La demande de certificat échoue avec le message d'erreur suivant :
The request is missing required signature policy information. 0x80094809 (-2146875383 CERTSRV_E_SIGNATURE_POLICY_REQUIRED)
Denied by Policy Module
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „The request is missing required signature policy information. 0x80094809 (-2146875383 CERTSRV_E_SIGNATURE_POLICY_REQUIRED)“ »

Microsoft Outlook : trouver les certificats des destinataires pour les e-mails cryptés S/MIME

Pour dépanner les messages électroniques cryptés à l'aide de Secure/Multipurpose Internet Mail Extensions (S/MIME), il est possible d'exporter la partie cryptée d'un message. Voir à ce sujet l'article „Microsoft Outlook : Extraire un message S/MIME chiffré d'un courriel„ .

Pour savoir avec quels certificats un message a été chiffré, on peut procéder comme suit...

Continuer la lecture de « Microsoft Outlook: Empfänger-Zertifikate bei S/MIME verschlüsselten Mails herausfinden »

Microsoft Outlook : Extraire un message S/MIME chiffré d'un courriel

La partie chiffrée d'un message électronique crypté avec Secure/Multipurpose Internet Mail Extensions (S/MIME) est toujours contenue dans un fichier appelé „smime.p7m“, joint au message.

Outlook n'affiche pas cette pièce jointe, mais il est possible de l'utiliser à des fins d'analyse avec l'outil gratuit mis à disposition par Microsoft. MFCMAPI être extraites de l'e-mail.

Continuer la lecture de « Microsoft Outlook: Extrahieren einer verschlüsselten S/MIME Nachricht aus einer E-Mail »

La demande de certificat échoue avec le message d'erreur „The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)“.“

Supposons le scénario suivant :

  • Une tentative de demande de certificat auprès d'une autorité de certification intégrée à Active Directory (Enterprise CA) pour un utilisateur ou un ordinateur est en cours.
  • La demande de certificat échoue avec le message d'erreur suivant :
The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE).
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE).“ »

La demande d'un certificat via Enroll on Behalf of (EOBO) échoue avec le message d'erreur „The operation is denied. Elle ne peut être effectuée que par un gestionnaire de certificats autorisé à gérer les certificats pour le demandeur actuel“.“

  • Un certificat est demandé pour un utilisateur auprès d'une autorité de certification via la console de gestion des certificats (certmgr.msc).
  • On utilise pour cela le Inscription à la demande de (EOBO) Mécanisme.
  • La demande de certificat échoue avec le message d'erreur suivant :
The operation is denied. It can only be performed by a certificate manager that is allowed to manage certificates for the current requester.
Continuer la lecture de « Die Beantragung eines Zertifikats über Enroll on Behalf of (EOBO) schlägt fehl mit der Fehlermeldung „The operation is denied. It can only be performed by a certificate manager that is allowed to manage certificates for the current requester.“ »

La demande d'un certificat via Enroll on Behalf of (EOBO) échoue avec le message d'erreur „A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)“.“

  • Un certificat est demandé pour un utilisateur auprès d'une autorité de certification via la console de gestion des certificats (certmgr.msc).
  • On utilise pour cela le Inscription à la demande de (EOBO) Mécanisme.
  • La demande de certificat échoue avec le message d'erreur suivant :
A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)
Continuer la lecture de « Die Beantragung eines Zertifikats über Enroll on Behalf of (EOBO) schlägt fehl mit der Fehlermeldung „A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)“ »

La demande d'un certificat via Enroll on Behalf of (EOBO) n'est pas possible car le modèle de certificat ne s'affiche pas. Le message d'erreur est le suivant : „The certificate template requires too many RA signatures“.“

Supposons le scénario suivant :

  • Un certificat est demandé pour un utilisateur ou un ordinateur auprès d'une autorité de certification via la console de gestion des certificats (certlm.msc ou certmgr.msc).
  • On utilise pour cela le Inscription à la demande de (EOBO) Mécanisme.
  • Le modèle de certificat souhaité ne s'affiche pas.
  • Si l'on coche la case „Show all templates“, le message d'erreur suivant s'affiche pour le modèle de certificat souhaité :
The certificate template requires too many RA signatures. Only one RA signature is allowed. Multiple request agent signatures are not permitted on a certificate request.
Continuer la lecture de « Die Beantragung eines Zertifikats über Enroll on Behalf of (EOBO) ist nicht möglich, da die Zertifikatvorlage nicht angezeigt wird. Die Fehlermeldung lautet „The certificate template requires too many RA signatures.“ »

La demande d'un certificat échoue avec le message d'erreur „A certificate issued by the certification authority cannot be installed. Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)“

Supposons le scénario suivant :

  • Un certificat est demandé à une autorité de certification.
  • Le certificat est délivré avec succès par l'autorité de certification.
  • Cependant, lors de l'installation du certificat sur le système cible, le message d'erreur suivant apparaît :
A certificate issued by the certification authority cannot be installed. Contact your administrator.
Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „A certificate issued by the certification authority cannot be installed. Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)“ »

La demande de certificat n'est pas possible, car le modèle de certificat ne s'affiche pas. Le message d'erreur est „Can not find a valid CSP in the local machine“.“

Supposons le scénario suivant :

  • Un certificat est demandé pour un utilisateur ou un ordinateur auprès d'une autorité de certification via la console de gestion des certificats (certlm.msc ou certmgr.msc).
  • Autoenrollment ne demande pas de certificat du modèle de certificat souhaité, bien qu'il soit activé et que les autorisations soient définies en conséquence.
  • Le modèle de certificat souhaité ne s'affiche pas lors d'une demande manuelle via la console de gestion Microsoft (MMC). Si l'on active la case à cocher „Show all templates“, le message d'erreur suivant s'affiche pour le modèle de certificat souhaité :
Cannot find object or property.
Can not find a valid CSP in the local machine.
Continuer la lecture de « Die Beantragung eines Zertifikats ist nicht möglich, da die Zertifikatvorlage nicht angezeigt wird. Die Fehlermeldung lautet „Can not find a valid CSP in the local machine.“ »

La demande d'un certificat protégé par Trusted Platform Module (TPM) échoue avec le message d'erreur „The requested operation is not supported. 0x80090029 (-2146893783 NTE_NOT_SUPPORTED)“

Supposons le scénario suivant :

  • Un modèle de certificat est configuré pour l'utilisation du Microsoft Platform Crypto Provider, de sorte que la clé privée générée lors de la demande de certificat est protégée par un Trusted Platform Module (TPM).
  • Cependant, la demande de certificats échoue avec le message d'erreur suivant :
An error occurred while enrolling for a certificate.
A certificate request could not be created.
Url: CA02.intra.adcslabor.de\ADCS Labor Issuing CA 1
Error: The requested operation is not supported. 0x80090029 (-2146893783 NTE_NOT_SUPPORTED)
Continuer la lecture de « Die Beantragung eines Trusted Platform Module (TPM) geschützten Zertifikats schägt fehl mit Fehlermeldung „The requested operation is not supported. 0x80090029 (-2146893783 NTE_NOT_SUPPORTED)“ »

Lors de l'installation d'une autorité de certification intégrée à Active Directory, le message d'erreur „Insufficient access rights to perform the operation. 0x80072098 (Win32 : 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)“ apparaît.“

Supposons le scénario suivant :

  • Une autorité de certification (Enterprise Certification Authority) intégrée dans Active Directory est installée via Windows PowerShell.
  • Des autorisations déléguées sont utilisées pour l'installation de l'autorité de certification. L'utilisateur qui installe n'est donc pas membre du groupe „Enterprise Administrators“.
  • Après avoir exécuté l'assistant de configuration de rôle, un ou plusieurs des messages d'erreur suivants sont affichés sur la ligne de commande :
Setup could not add the Certification Authority's computer account to the Pre-Windows 2000 Compatible Access security group. Certificate managers Restrictions feature will not work correctly on this Certification Authority. To fix this, an administrator must manually add the Certification's Authority's computer account to the Pre-Windows 2000 Compatible Access security group in Active Directory. Insufficient access rights to perform the operation. 0x80072098 (Win32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)
Warning: Setup could not add the certification authority’s computer account to the cert Publishers Security Group. This Certification Authority will not be able to publish certificates in Active Directory. To fix this, an administrator must manually add the Certification Authority’s computer account to the Cert Publishers security group in Active Directory.  Insufficient access rights to perform the operation. 0x80072098 (Win32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)
Continuer la lecture de « Bei der Installation einer Active Directory integrierten Zertifizierungsstelle erscheint die Fehlermeldung „Insufficient access rights to perform the operation. 0x80072098 (Win32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)“ »

L'installation d'un certificat d'autorité de certification échoue avec le message d'erreur „Insufficient access rights to perform the operation. 0x80072098 (WIN32 : 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)“.“

Supposons le scénario suivant :

  • Une autorité de certification (Enterprise Certification Authority) intégrée dans Active Directory est installée.
  • Des autorisations déléguées sont utilisées pour l'installation de l'autorité de certification. L'utilisateur qui installe n'est donc pas membre du groupe „Enterprise Administrators“.
  • Une fois le certificat d'autorité de certification délivré par l'autorité de certification supérieure, celui-ci est installé afin de finaliser la configuration des rôles.
  • L'installation du certificat d'autorité de certification échoue avec le message d'erreur suivant :
Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)
Continuer la lecture de « Die Installation eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung „Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)“ »

L'installation d'un certificat d'autorité de certification échoue avec le code d'erreur „NTE_PROVIDER_DLL_FAIL“.“

Supposons le scénario suivant :

  • Une autorité de certification est installée.
  • L'autorité de certification utilise un module de sécurité matériel (HSM) Gemalto/SafeNet avec le fournisseur de stockage de clés SafeNet Luna.
  • Une fois le certificat d'autorité de certification délivré par l'autorité de certification supérieure, celui-ci est installé afin de finaliser la configuration des rôles.
  • L'installation du certificat d'autorité de certification échoue avec le message d'erreur suivant :
An error was detected while configuring Active Directory Certificate Services.
The Active Directory Certificate Services Setup Wizard will need to be rerun to complete the configuration.
The new certificate public key does not match the current outstanding request.
The wrong request may have been used to generate the new certificate: Provider DLL failed to initialize correctly.
0x8009001d (-2146893795 NTE_PROVIDER_DLL_FAIL)
Continuer la lecture de « Die Installation eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlercode „NTE_PROVIDER_DLL_FAIL“ »

SSCEP : Le sujet de notre demande ne correspond pas à celui du certificat renvoyé !

Supposons le scénario suivant :

sscep: Subject of our request does not match that of the returned Certificate!
Continuer la lecture de « SSCEP: Subject of our request does not match that of the returned Certificate! »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais