| Source de l'événement : | Répondeur en ligne Microsoft Windows |
| ID de l'événement : | 34 (0x22) |
| Journal des événements : | Application |
| Type d'événement : | Erreur |
| Nom symbolique : | MSG_E_CACONFIG_SUBMIT_ENROLLMENT_REQUEST_FAILED |
| Texte de l'événement (en anglais) : | Le Online Responder Service a rencontré une erreur lors de l'envoi de la demande d'affiliation pour la configuration %1 à l'autorité de certification %2. L'ID de la demande est %3.(%4) |
| Texte de l'événement (en allemand) : | Une erreur s'est produite dans le service de répondeur en ligne lors de la transmission des demandes d'enregistrement pour la configuration %1 à l'autorité de certification %2. ID de la demande : %3.(%4) |
Paramètres
Les paramètres contenus dans le texte d'événement sont remplis avec les champs suivants :
- %1 : CAConfigurationId (win:UnicodeString)
- %2 : CAConfig (win:UnicodeString)
- %3 : RequestId (win:UnicodeString)
- %4 : ErrorCode (win:UnicodeString)
Le Online Responder (Online Certificate Status Protocol, OCSP) est une autre manière de fournir des informations sur le statut de révocation des certificats. Grâce à l'OCSP, les entités qui souhaitent vérifier le statut de révocation d'un certificat ne doivent pas télécharger la liste complète de tous les certificats révoqués, mais peuvent adresser une demande ciblée au répondeur en ligne pour le certificat concerné. Pour une description plus détaillée, voir l'article "Principes de base du répondeur en ligne (Online Certificate Status Protocol, OCSP)„ .
Exemple d'événements
The Online Responder Service encountered an error while submitting the enrollment request for configuration ADCS Labor Issuing CA 2 (0) to certification authority CA03.intra.adcslabor.de\ADCS Labor Issuing CA 2. The request ID is -1.(The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE))
The Online Responder Service encountered an error while submitting the enrollment request for configuration ADCS Labor Issuing CA 1 (Key 0) to certification authority CA02.intra.adcslabor.de\ADCS Labor Issuing CA 1. The request ID is 165.(The permissions on the certificate template do not allow the current user to enroll for this type of certificate. 0x80094012 (-2146877422 CERTSRV_E_TEMPLATE_DENIED))
The Online Responder Service encountered an error while submitting the enrollment request for configuration ADCS Labor Issuing CA 2 (0) to certification authority CA03.intra.adcslabor.de\ADCS Labor Issuing CA 2. The request ID is 95.(The encryption type requested is not supported by the KDC. 0x80090342 (-2146892990 SEC_E_KDC_UNKNOWN_ETYPE))
The Online Responder Service encountered an error while submitting the enrollment request for configuration ADCS Labor Issuing CA 2 (0) to certification authority CA03.intra.adcslabor.de\ADCS Labor Issuing CA 2. The request ID is -1.(The directory service encountered an internal failure. 0x800720ee (WIN32: 8430 ERROR_DS_INTERNAL_FAILURE))
Description
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Cet événement se produit lorsque le répondeur en ligne n'est pas en mesure de demander un nouveau certificat de signature pour une configuration en ligne. En conséquence, le certificat de signature actuellement utilisé expirera dans un avenir proche et entraînera une défaillance de la configuration de blocage. Voir aussi l'article „Impact de la défaillance du répondeur en ligne (OCSP) sur la vérification du statut de révocation d'un certificat„ .
Le type de cryptage demandé n'est pas pris en charge par le KDC. 0x80090342 (-2146892990 SEC_E_KDC_UNKNOWN_ETYPE)
Signifie par analogie qu'aucune authentification Kerberos n'est possible auprès de l'autorité de certification, car l'algorithme de cryptage utilisé n'est pas connu.
Peut être utilisé par le Correctif de novembre 2022 a été déclenché. Ce dernier a modifié les algorithmes de chiffrement standard pour les contrôleurs de domaine, en oubliant de prendre en compte l'Advanced Encryption Standard (AES), ce qui rend impossible l'authentification Kerberos dans les environnements renforcés..
Évaluation de la sécurité
L'approche de la sécurité est axée sur les trois dimensions de la confidentialité (Confidentiality), de l'intégrité (Integrity) et de la disponibilité (Availability).
Si un nouveau certificat de signature ne peut pas être demandé avant l'expiration du certificat de signature utilisé actuellement, la configuration de la révocation échoue. La disponibilité du service est donc menacée.
Liens complémentaires :
- Aperçu des événements Windows générés par le répondeur en ligne (OCSP)
- Aperçu des événements d'audit générés par le répondeur en ligne (OCSP)
Sources externes
- KB5021131 : Comment gérer les changements du protocole Kerberos liés à CVE-2022-37966 (Microsoft Corporation)
- Décryptage de la sélection des types de chiffrement Kerberos pris en charge (Microsoft Corporation)
- Installer, configurer et dépanner le répondeur en ligne (Microsoft's OCSP Responder) (lien vers les archives)
Français 
Deutsch 
English
Les commentaires sont fermés.