Catégorie : Autorité de certification

Modifier l'objet NTAuthCertificates dans Active Directory

Dans la configuration standard, tous les certificats d'autorité de certification des autorités de certification intégrées dans Active Directory (Enterprise Certification Authority) se trouvent dans un objet de type CertificationAuthority appelé NTAuthCertificates au sein de la partition Configuration de l'arborescence globale d'Active Directory.

Continuer la lecture de « Bearbeiten des NTAuthCertificates Objektes im Active Directory »

La publication d'une liste de révocation de certificats (CRL) échoue avec le message d'erreur "Insufficient access rights to perform the operation. 0x80072098 (WIN32 : 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)".

Supposons le scénario suivant :

  • On essaie de publier une nouvelle liste de révocation de certificats (CRL) sur une autorité de certification.
  • L'autorité de certification est configurée pour publier les listes de révocation de certificats dans Active Directory (LDAP CDP).
  • La publication de la liste de révocation des certificats échoue avec le message d'erreur suivant : 
Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)
Continuer la lecture de « Die Veröffentlichtung einer Zertifikatsperrliste (CRL) schlägt fehl mit der Fehlermeldung „Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)“ »

La publication d'une liste de révocation de certificats (CRL) échoue avec le message d'erreur "Directory object not found. 0x8007208d (WIN32 : 8333 ERROR_DS_OBJ_NOT_FOUND)".

Supposons le scénario suivant :

  • On essaie de publier une nouvelle liste de révocation de certificats (CRL) sur une autorité de certification.
  • L'autorité de certification est configurée pour publier les listes de révocation de certificats dans Active Directory (LDAP CDP).
  • La publication de la liste de révocation des certificats échoue avec le message d'erreur suivant :
Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND)
Continuer la lecture de « Die Veröffentlichtung einer Zertifikatsperrliste (CRL) schlägt fehl mit der Fehlermeldung „Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND)“ »

Règles de pare-feu requises pour Active Directory Certificate Services

Si l'on implémente une autorité de certification intégrée à Active Directory, il est souvent nécessaire de planifier les règles de pare-feu à créer sur le réseau. Voici une liste des règles de pare-feu nécessaires et des éventuels pièges à éviter.

Continuer la lecture de « Benötigte Firewallregeln für Active Directory Certificate Services »

Requêtes avancées par rapport à la base de données des autorités de certification

La base de données des autorités de certification stocke une grande partie des informations sur les activités d'une autorité de certification. Elle contient entre autres des informations sur

  • Certificats délivrés
  • Certificats révoqués
  • Listes de blocage publiées
  • Demandes de certificats en attente
  • Demandes de certificats refusées
  • Échec de la demande de certificat

La consultation du contenu de la base de données de l'autorité de certification se fait généralement via la console de gestion de l'autorité de certification (certsrv.msc), mais les possibilités d'évaluation et surtout de traitement automatique sont très limitées.

Continuer la lecture de « Erweiterte Abfragen gegen die Zertifizierungsstellen-Datenbank »

La demande de certificat échoue avec le message d'erreur "A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)".

Le scénario suivant :

  • Un utilisateur obtient un certificat auprès d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • Le certificat de l'autorité de certification est fiable, c'est-à-dire qu'il se trouve dans le magasin des autorités de certification racine de confiance (Trusted Root Certification Authorities).
  • La demande de certificat échoue avec le message d'erreur suivant :
A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung „A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)“ »

La demande de certificat échoue avec le message d'erreur "The requested operation cannot be completed. The computer must be trusted for delegation and the current user account must be configured to allow delegation. 0x80090345 (-2146892987 SEC_E_DELEGATION_REQUIRED).". Lors de l'importation de fichiers PFX, la clé privée est manquante.

Le scénario suivant :

  • L'importation d'un fichier PFX semble réussie, mais la clé privée manque ensuite. Une vérification avec certutil se solde par un message d'erreur "Missing stored keyset".
  • La demande d'un certificat sur un client échoue avec le message d'erreur suivant :
The requested operation cannot be completed. The computer must be trusted for delegation and the current user account must be configured to allow delegation. 0x80090345 (-2146892987 SEC_E_DELEGATION_REQUIRED).
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung „The requested operation cannot be completed. The computer must be trusted for delegation and the current user account must be configured to allow delegation. 0x80090345 (-2146892987 SEC_E_DELEGATION_REQUIRED).“. Beim Import von PFX-Dateien fehlt der private Schlüssel. »

La demande de certificat pour les contrôleurs de domaine échoue avec le message d'erreur "The RPC server is unavailable. 0x800706ba (WIN32 : 1722 RPC_S_SERVER_UNAVAILABLE)".

Le scénario suivant :

  • La demande de certificat pour un contrôleur de domaine échoue.
  • Auf der Zertifizierungsstelle wird die Zertifikatanforderung bei den fehlgeschlagenen Anforderungen (failed Requests) protokolliert. Die Fehlermeldung lautet:
The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
Continuer la lecture de « Die Beantragung eines Zertifikats für Domänencontroller schlägt fehl mit Fehlermeldung „The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)“ »

Les sauvegardes incrémentielles de la base de données des autorités de certification échouent avec le message d'erreur "The database missed a previous full backup before incremental backup".

Supposons le scénario suivant :

  • On utilise certutil.exe ou le commandlet PowerShell Backup-CAService pour sauvegarder sa base de données Active Directory Certificate Services.
  • En plus d'une sauvegarde complète, on effectue également des sauvegardes incrémentielles régulières de la base de données CA.
  • Les sauvegardes incrémentielles échouent avec le message d'erreur "The database missed a previous full backup before incremental backup".
Incremental database backup for…
 Backing up Log files: 0%CertUtil: -backupDB command FAILED: 0xc8000230 (ESE: -560 JET_errMissingFullBackup)
 CertUtil: The database missed a previous full backup before incremental backup
Continuer la lecture de « Inkrementelle Sicherungen der Zertifizierungsstellen-Datenbank schlagen fehl mit der Fehlermeldung „The database missed a previous full backup before incremental backup“ »

La demande de certificat échoue avec le message d'erreur "A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted".

Supposons le scénario suivant :

  • On essaie de demander un certificat à une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • Pour ce faire, on utilise la console de gestion Microsoft (MMC), soit pour l'utilisateur connecté (certmgr.msc), soit pour l'ordinateur (certlm.msc).
  • Cependant, le modèle de certificat souhaité n'est pas affiché pour être sélectionné, bien qu'il ait été correctement publié sur l'autorité de certification.
  • L'utilisateur (ou l'ordinateur) connecté dispose également des autorisations nécessaires pour demander des certificats du modèle de certificat concerné (Enroll).
  • Dans la liste des modèles de certificats disponibles au sein de la MMC, on peut afficher tous les modèles de certificats. Le modèle de certificat souhaité est indiqué :
A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted.
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung „A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted.“ »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais