Détails de l'événement ID 86 de la source Microsoft-Windows-CertificateServicesClient-CertEnroll

Source de l'événement :	Microsoft-Windows-CertificateServicesClient-CertEnroll
ID de l'événement :	86 (0xC25A0056)
Journal des événements :	Application
Type d'événement :	Erreur
Texte de l'événement (en anglais) :	Échec de l'initialisation de l'inscription au certificat SCEP pour %1 via %2 : %3 Méthode : %4 Étape : %5 %6
Texte de l'événement (en allemand) :	Erreur lors de l'initialisation de l'enregistrement du certificat SCEP pour %1 via %2 : %3 Méthode : %4 Phase : %5 %6

Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) offre la possibilité de demander des certificats auprès d'une autorité de certification pour les périphériques qui ne disposent pas d'un identifiant dans Active Directory (par exemple les périphériques réseau tels que les routeurs, les commutateurs, les imprimantes, les clients légers ou les smartphones et tablettes). Pour une description plus détaillée, voir l'article "Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)„ .

Depuis Windows 8.1, un client pour le Simple Certificate Enrollment Protocol (SCEP) est intégré dans le système d'exploitation Windows. Pour un exemple d'utilisation, voir l'article „Demande de certificat pour les systèmes Windows via le service d'enregistrement des périphériques réseau (NDES) avec Windows PowerShell„ .

Paramètres

Les paramètres contenus dans le texte d'événement sont remplis avec les champs suivants :

• %1 : Contexte (win:UnicodeString)
• %2 : Url (win:UnicodeString)
• %3 : MessageText (win:UnicodeString)
• %4 : méthode (win:UnicodeString)
• %5 : Stage (win:UnicodeString)
• %6 : Code d'erreur (win : UnicodeString)

Exemple d'événements

SCEP Certificate enrollment initialization for INTRA\rudi via https://ndes01.intra.adcslabor.de/certsrv/mscep/mscep.dll/pkiclient.exe failed:  GetCACaps  Method: GET(47ms) Stage: GetCACaps A security error occurred 0x80072f8f (WinHttp: 12175 ERROR_WINHTTP_SECURE_FAILURE)

Fehler bei der Initialisierung der SCEP-Zertifikatregistrierung für WORKGROUP\CLIENT1$ über https://IFX-KeyId-18b1af70b93f991972f362556a9a3fbf4bb24e0d.microsoftaik.azure.net/templates/Aik/scep:
 GetCACaps
 Methode: GET(15ms)
 Phase: GetCACaps
 The server name or address could not be resolved 0x80072ee7 (WinHttp: 12007 ERROR_WINHTTP_NAME_NOT_RESOLVED)

Description

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Se produit lorsque la première opération (GetCACaps) d'une demande de certificat via le Simple Certificate Enrollment Protocol (SCEP) échoue (voir également l'article „Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)„ ).

Code d'erreur ERROR_WINHTTP_SECURE_FAILURE

Se produit lorsque la demande de certificat est effectuée via HTTPS et que le certificat du serveur SCEP n'a pas pu être vérifié.

L'utilisation de SSL est possible pour le protocole SCEP mais n'est généralement pas nécessaire. Voir également à ce sujet l'article „Faut-il utiliser HTTPS pour le service d'enregistrement des périphériques réseau (NDES) ?„ .

Certificat Attestation Identity Key (AIK)

Windows 10 demande un certificat Attestation Identity Key (AIK) auprès d'un service cloud de Microsoft via le protocole SCEP, si l'ordinateur dispose d'un module Trusted Platform (TPM) compatible.

Ceci est déclenché par la tâche planifiée appelée „AikCertEnrollTask“ sous „\Microsoft\Windows\CertificateServicesClient“.

La demande de certificat s'effectue lorsque le module Trusted Platform installé dans l'ordinateur dispose d'un certificat d'endossement (EKCert).

Une partie du domaine DNS appelé est formée à partir d'attributs de l'EKCert (les fabricants de TPM à partir du Subject Alternative Name et du Subject Key Identifier (SKI)).

Si la demande de certificat a réussi et qu'aucune application n'accède au certificat AIK, la tâche ne sera pas exécutée à nouveau.

Si la demande de certificat n'a pas abouti, elle est réessayée plusieurs fois à intervalles irréguliers. Le message d'erreur est enregistré, par exemple, lorsque l'ordinateur ne dispose pas d'une connexion Internet au premier démarrage et que le service en nuage ne peut donc pas être appelé (par exemple, code d'erreur ERROR_WINHTTP_NAME_NOT_RESOLVED).

Si le certificat AIK est utilisé par une application, la tâche est exécutée à nouveau pour le remplacer.

Pour un fonctionnement dans un environnement cloisonné, la „AikCertEnrollTask“ peut être désactivée.

Évaluation de la sécurité

L'approche de la sécurité est axée sur les trois dimensions de la confidentialité (Confidentiality), de l'intégrité (Integrity) et de la disponibilité (Availability).

Aucune description n'a encore été rédigée à ce sujet.

Liens complémentaires :

• Activer la journalisation pour la demande automatique de certificat (auto-enrollment)
• Déterminer et exporter un certificat d'approbation du module TPM (Trusted Platform Module)

Sources externes

• [MS-WCCE] : Attestation de clé (Microsoft)
• Clé d'identité d'attestation (AIK) Spécification de l'inscription au certificat - Foire aux questions (Trusted Computing Group)
• Erreur TPM 2.0 à chaque démarrage (Forums Microsoft TechNet)
• Module de plate-forme de confiance (Wikipedia)
• Attestation TPM : qu'est-ce qui peut éventuellement mal se passer ? (Michael Niehaus)