La demande de certificat échoue avec le message d'erreur "The requested operation cannot be completed. The computer must be trusted for delegation and the current user account must be configured to allow delegation. 0x80090345 (-2146892987 SEC_E_DELEGATION_REQUIRED).". Lors de l'importation de fichiers PFX, la clé privée est manquante.

Le scénario suivant :

• L'importation d'un fichier PFX semble réussie, mais la clé privée manque ensuite. Une vérification avec certutil se solde par un message d'erreur "Missing stored keyset".
• La demande d'un certificat sur un client échoue avec le message d'erreur suivant :

The requested operation cannot be completed. The computer must be trusted for delegation and the current user account must be configured to allow delegation. 0x80090345 (-2146892987 SEC_E_DELEGATION_REQUIRED).

Cause

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Wie sich herausstellte, befand sich betreffende Client in einem DMZ-ähnlichen Netzwerksegment und hatte lediglich die Möglichkeit, mit einem Read-only Domain Controller (RODC) zu kommunizieren, nicht jedoch mit einem schreibbaren Domain Controller. Letzteres wurde durch eine Firewall verhindert.

Dadurch war der Client nicht in der Lage, eine Sicherung des Data Protection API (DPAPI) Master Schlüssels ins Active Directory zu schreiben. Da private Schlüssel von Zertifikaten ebenfalls mit der DPAPI geschützt werden, sofern sie einen Softwarebasierten Cryptographic Service Provider (CSP) oder Key Storage Provider (KSP) verwenden, konnten also keine Schlüssel erzeugt oder importiert werden.

Das Problem und das Verhalten sind im folgenden Knowledge Base Artikel von Microsoft beschrieben: DPAPI MasterKey backup failures when RWDC isn’t available.

„When a user logs on to a computer for the first time and tries to encrypt data for the first time, the operating system must create a preferred DPAPI MasterKey, which is based on the user’s current password. During the creation of the DPAPI MasterKey, An attempt is made to back up this master key by contacting an RWDC. If the backup fails, the MasterKey cannot be created and a 0x80090345 error is returned.“

Es gibt folgende Möglichkeiten, das Problem zu lösen:

• Dem Client Zugang zu einem schreibbaren Domain Controller ermöglichen.
• Die Sicherung des DPAPI Master Schlüssels ins Active Directory zu unterbinden, was allerdings nicht empfohlen ist und nur dann verwendet werden sollte, wenn die angemeldeten Benutzer nicht zwischen verschiedenen Computern wechseln.

Liens complémentaires :

• Principes de base : fournisseur de services cryptographiques (CSP) et fournisseur de stockage de clés (KSP)

Sources externes

• DPAPI MasterKey backup failures when RWDC isn’t available (Microsoft)