La demande de certificat échoue avec le message d'erreur "You cannot request a certificate at this time because no certificate types are available".

Auteur Uwe GradeneggerPublié le Catégories Active Directory, DépannageÉtiquettes , ,

Supposons le scénario suivant :

  • On essaie de demander un certificat à une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • Pour ce faire, on utilise la console de gestion Microsoft (MMC), soit pour l'utilisateur connecté (certmgr.msc), soit pour l'ordinateur (certlm.msc).
  • L'utilisateur connecté dispose également des autorisations nécessaires pour demander des certificats du modèle de certificat concerné (Enroll).
  • Aucun modèle de certificat n'est proposé à la sélection, alors qu'il a été correctement publié sur les sites des autorités de certification.
  • Il n'y a pas non plus d'option "Show hidden templates". Celle-ci apparaît habituellement en bas à gauche de la boîte de dialogue.
  • Le message d'erreur suivant s'affiche :
Certificate types are not available. You cannot request a certificate at this time because no certificate types are available. If you need a certificate, contact your administrator.

Causes possibles :

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Les causes possibles peuvent être

  • Aucune communication n'est possible avec l'Active Directory
  • Une politique d'affiliation est configurée, qui renvoie à une adresse non valide.
  • Si la demande est faite via les services web d'enregistrement de certificats, aucun modèle de certificat n'est disponible pour le contexte utilisateur actuel.
  • Aucun modèle de certificat compatible n'est disponible pour les demandes effectuées via les services web d'enregistrement des certificats.

Détails : aucune communication n'est possible avec Active Directory

L'absence de l'option "Show hidden templates" peut être un indice du fait que les modèles sont déjà Récupération des modèles de certificats dans l'Active Directory échoue.

Il faut donc d'abord vérifier si l'ordinateur et l'utilisateur concernés peuvent communiquer avec l'Active Directory. Le premier point de contact est l'observateur d'événements sur l'ordinateur concerné.

De même, il convient de vérifier si la session de l'utilisateur connecté est toujours valide. Par exemple, il se peut qu'une session Windows soit utilisée et qu'elle n'ait pas été reconnectée après le changement de mot de passe. De même, il se peut qu'il n'y ait pas eu de renouvellement automatique du ticket Kerberos Ticket-Granting-Ticket (TGT) parce que l'utilisateur est membre du groupe de sécurité "Protected Users". En cas de doute, il convient de se déconnecter et de se reconnecter au système concerné.

Détails : une politique d'affiliation est configurée, qui fait référence à une adresse non valide.

L'absence de l'option "Show hidden templates" peut être un indice du fait que les modèles sont déjà Récupération des modèles de certificats dans l'Active Directory échoue.

Par défaut, la politique d'inscription fait référence au GUID du domaine racine de la structure globale d'Active Directory.

Par exemple, si une stratégie de groupe est importée d'un environnement de test, les GUID ne correspondent plus et les modèles de certificats ne peuvent pas être récupérés.

Un rapport sur les stratégies de groupe configurées peut être généré à l'aide de la commande suivante :

gpresult /scope:user /H Dateiname.html
gpresult /scope:user /H Dateiname.html

Il est alors possible de rechercher le terme "Enrollment Policy" dans les fichiers HTML ainsi générés.

Le GUID du domaine racine de la structure globale Active Directory peut être obtenu avec la commande PowerShell suivante (nécessite le module Active Directory PowerShell) :

(Get-ADForest | Select-Object -ExpandProperty RootDomain | Get-ADDomain).ObjectGUID

Il est également possible de le déterminer via la console de gestion des utilisateurs et ordinateurs Active Directory (dsa.msc). Pour ce faire, cliquez sur le domaine racine de la structure globale à droite, sélectionnez Properties et cherchez la valeur objectGUID dans l'onglet "Attribute Editor".

Détails : aucun modèle de certificat n'est disponible pour le contexte utilisateur actuel en cas de demande via les services web d'enregistrement de certificats.

Si la demande est effectuée via les services web d'enregistrement des certificats (CEP, CES), il convient de vérifier si un modèle de certificat est publié pour le contexte actuel (magasin de certificats de l'ordinateur ou de l'utilisateur). Contrairement à la demande via RPC/DCOM, l'option "Show hidden Templates" n'est pas disponible dans ce cas non plus.

Détails : aucun modèle de certificat compatible n'est disponible pour les demandes effectuées via les services web d'enregistrement de certificats.

Il y a une erreur connue dans le Service de politique d'enregistrement des certificats (Certificate Enrollment Web Service, CEP)Le problème est que les modèles de certificats dont la compatibilité est réglée sur Windows 10 ou Windows Server 2016 ne sont pas affichés. Pour plus de détails, voir l'article "Le service de stratégie d'enregistrement des certificats n'affiche pas les modèles de certificats configurés pour être compatibles avec Windows Server 2016 ou Windows 10.„ .

Dans ce cas, la compatibilité du modèle de certificat doit être configurée sur Windows Server 2012 R2 ou inférieur, si cela est possible.

Liens complémentaires :

Sources externes

Les commentaires sont fermés.

fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais