| Source de l'événement : | Microsoft-Windows-CertificateServicesClient-CertEnroll |
| ID de l'événement : | 86 (0xC25A0056) |
| Journal des événements : | Application |
| Type d'événement : | Erreur |
| Texte de l'événement (en anglais) : | SCEP Certificate enrollment initialization for %1 via %2 failed: %3 Method: %4 Stage: %5 %6 |
| Texte de l'événement (en allemand) : | Fehler bei der Initialisierung der SCEP-Zertifikatregistrierung für %1 über %2: %3 Methode: %4 Phase: %5 %6 |
Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) offre la possibilité de demander des certificats auprès d'une autorité de certification pour les périphériques qui ne disposent pas d'un identifiant dans Active Directory (par exemple les périphériques réseau tels que les routeurs, les commutateurs, les imprimantes, les clients légers ou les smartphones et tablettes). Pour une description plus détaillée, voir l'article "Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)„ .
Seit Windows 8.1 ist ein Client für das Simple Certificate Enrollment Protocol (SCEP) in das Windows-Betriebssystem integriert. Für ein Nutzungsbeispiel siehe Artikel „Demande de certificat pour les systèmes Windows via le service d'enregistrement des périphériques réseau (NDES) avec Windows PowerShell„ .
Paramètres
Les paramètres contenus dans le texte d'événement sont remplis avec les champs suivants :
- %1 : Contexte (win:UnicodeString)
- %2: Url (win:UnicodeString)
- %3: MessageText (win:UnicodeString)
- %4: Method (win:UnicodeString)
- %5: Stage (win:UnicodeString)
- %6: ErrorCode (win:UnicodeString)
Exemple d'événements
SCEP Certificate enrollment initialization for INTRA\rudi via https://ndes01.intra.adcslabor.de/certsrv/mscep/mscep.dll/pkiclient.exe failed: GetCACaps Method: GET(47ms) Stage: GetCACaps A security error occurred 0x80072f8f (WinHttp: 12175 ERROR_WINHTTP_SECURE_FAILURE)
Fehler bei der Initialisierung der SCEP-Zertifikatregistrierung für WORKGROUP\CLIENT1$ über https://IFX-KeyId-18b1af70b93f991972f362556a9a3fbf4bb24e0d.microsoftaik.azure.net/templates/Aik/scep: GetCACaps Methode: GET(15ms) Phase: GetCACaps The server name or address could not be resolved 0x80072ee7 (WinHttp: 12007 ERROR_WINHTTP_NAME_NOT_RESOLVED)
Description
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Tritt auf, wenn die erste Operation (GetCACaps) einer Zertifikatbeantragung über das Simple Certificate Enrollment Protocol (SCEP) fehlschlägt (siehe hierzu auch Artikel „Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)„ ).
Fehlercode ERROR_WINHTTP_SECURE_FAILURE
Tritt auf, wenn die Zertifikatbeantragung über HTTPS vorgenommen wird, und das Zertifikat des SCEP-Servers nicht überprüft werden konnte.
Die Verwendung von SSL ist für das SCEP Protokoll möglich aber in der Regel nicht nötig. Siehe hierzu auch Artikel „Faut-il utiliser HTTPS pour le service d'enregistrement des périphériques réseau (NDES) ?„ .
Attestation Identity Key (AIK) Zertifikat
Windows 10 beantragt ein Attestation Identity Key (AIK) Zertifikat von einem Microsoft Cloud Dienst via SCEP Protokoll, wenn der Computer über ein kompatibles Trusted Platform Modul (TPM) verfügt.
Dies wird durch den geplanten Task namens „AikCertEnrollTask“ unter „\Microsoft\Windows\CertificateServicesClient“ ausgelöst.
Die Zertifikatbeantragung erfolgt, wenn das im Computer verbaute Trusted Platform Modul über ein Endorsementzertifikat (EKCert) verfügt.
Ein Teil der aufgerufenen DNS-Domäne wird aus Attributen des EKCert gebildet (TPM-Hersteller aus dem Subject Alternative Name und dem Subject Key Identifier (SKI)).
Wenn die Zertifikatbeantragung erfolgreich war, und keine Anwendung auf das AIK Zertifikat zugreift, wird der Task nicht erneut ausgeführt.
Wenn die Zertifikatbeantragung nicht erfolgreich war, wird sie einige Male in unregelmäßigen Abständen erneut versucht. Die Fehlermeldung wird beispielsweise dann protokolliert, wenn der Computer beim ersten Start über keine Internetverbindung verfügt, und entsprechend der Clouddienst nicht aufgerufen werden kann (z.B. Fehlercode ERROR_WINHTTP_NAME_NOT_RESOLVED).
Wird das AIK Zertifikat durch eine Anwendung verwendet, wird der Task erneut ausgeführt, um es zu ersetzen.
Für den Betrieb in einer abgeschotteten Umgebung kann der „AikCertEnrollTask“ deaktiviert werden.
Évaluation de la sécurité
L'approche de la sécurité est axée sur les trois dimensions de la confidentialité (Confidentiality), de l'intégrité (Integrity) et de la disponibilité (Availability).
Aucune description n'a encore été rédigée à ce sujet.
Liens complémentaires :
- Activer la journalisation pour la demande automatique de certificat (auto-enrollment)
- Déterminer et exporter un certificat d'approbation du module TPM (Trusted Platform Module)
Sources externes
- [MS-WCCE]: Key Attestation (Microsoft)
- Attestation Identity Key (AIK) Certificate Enrollment Specification – Frequently Asked Questions (Trusted Computing Group)
- TPM 2.0 Error with Every Boot (Forums Microsoft TechNet)
- Trusted Platform Module (Wikipedia)
- TPM Attestation: What can possibly go wrong? (Michael Niehaus)
Français 
Deutsch 
English