certutil -dcinfo échoue avec le message d'erreur "KDC certificates : Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)"

Auteur Uwe GradeneggerPublié le Catégories Active Directory, Dépannage, Utilisation du certificatÉtiquettes , ,

Supposons le scénario suivant :

  • Les contrôleurs de domaine disposent de certificats pour LDAP sur SSL.
  • Les certificats ne comprennent pas l'utilisation de la clé étendue "Smart Card Logon" ni "Kerberos Authentication".
  • Si l'on exécute certutil -dcinfo, la commande affiche le message d'erreur suivant :
0 KDC certificates for DC01
No KDC Certificate in MY store
KDC certificates: Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)

Cause

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Cette erreur est due au fait que certutil -dcinfo recherche des certificats pour la connexion par carte à puce et n'en trouve pas.

Pour que la connexion par carte à puce fonctionne, le certificat du contrôleur de domaine doit contenir soit l'utilisation de clé étendue "Smart Card Logon", soit l'utilisation de clé étendue "KDC Authentication", soit le certificat doit provenir du modèle de certificat "Domain Controller" (non recommandé, car datant de l'époque de Windows 2000).

Pour des raisons de sécurité, il peut être conseillé de ne pas inscrire les Extended Key Usages ci-dessus dans les certificats des contrôleurs de domaine. Si l'entreprise n'utilise pas d'inscription par carte à puce, cela permet d'éviter que les contrôleurs de domaine ne traitent les inscriptions correspondantes, par exemple en cas de compromission de l'autorité de certification.

Le problème est purement cosmétique et n'a aucun impact sur les fonctions restantes du certificat (LDAP via SSL).

Il convient de noter que l'erreur se produit également lorsque le certificat du contrôleur de domaine contient l'utilisation étendue de la clé "KDC Authentication", comme recommandé, mais pas l'utilisation étendue de la clé "Smartcard Logon".

Si le certificat répond à toutes les exigences pour l'inscription par carte à puce, le message d'erreur ne devrait pas s'afficher.

Liens complémentaires :

Les commentaires sont fermés.

fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais