Le scénario suivant :
- L'importation d'un fichier PFX semble réussie, mais la clé privée manque ensuite. Une vérification avec certutil se solde par un message d'erreur "Missing stored keyset".
- La demande d'un certificat sur un client échoue avec le message d'erreur suivant :
The requested operation cannot be completed. The computer must be trusted for delegation and the current user account must be configured to allow delegation. 0x80090345 (-2146892987 SEC_E_DELEGATION_REQUIRED).
Cause
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Il s'est avéré que le client en question se trouvait dans un segment de réseau de type DMZ et qu'il avait uniquement la possibilité de communiquer avec un contrôleur de domaine en lecture seule (RODC), mais pas avec un contrôleur de domaine en écriture. Ce dernier était empêché par un pare-feu.
De ce fait, le client n'était pas en mesure d'effectuer une sauvegarde du API de protection des données (DPAPI) clé maître dans l'Active Directory. Étant donné que les clés privées des certificats sont également protégées par DPAPI, à condition qu'elles possèdent un certificat logiciel, elles ne sont pas protégées par DPAPI. Fournisseur de services cryptographiques (CSP) ou fournisseur de stockage de clés (KSP) aucune clé n'a donc pu être générée ou importée.
Le problème et le comportement sont décrits dans l'article suivant de la base de connaissances de Microsoft : Échecs de sauvegarde DPAPI MasterKey lorsque RWDC n'est pas disponible.
„Lorsqu'un utilisateur se connecte pour la première fois à un ordinateur et tente de crypter des données pour la première fois, le système d'exploitation doit créer une clé maître DPAPI préférée, qui est basée sur le mot de passe actuel de l'utilisateur. Pendant la création de la MasterKey DPAPI, une tentative est faite pour sauvegarder cette MasterKey en contactant un RWDC. Si la sauvegarde échoue, la MasterKey ne peut pas être créée et une erreur 0x80090345 est renvoyée“.“
Il existe les possibilités suivantes pour résoudre le problème :
- Permettre au client d'accéder à un contrôleur de domaine en écriture.
- empêcher la sauvegarde de la clé maîtresse DPAPI dans l'Active Directory, ce qui n'est toutefois pas recommandé et ne devrait être utilisé que si les utilisateurs connectés ne passent pas d'un ordinateur à l'autre.
Français 
Deutsch 
English