La demande d'un certificat via le Certificate Enrollment Policy Web Service (CEP) échoue avec le message d'erreur "Error : Access was denied by the remote endpoint. 0x803d0005 -2143485947 WS_E_ENDPOINT_ACCESS_DENIED".

Auteur Uwe GradeneggerPublié le Catégories Dépannage, Services web d'enregistrement des certificatsÉtiquettes , , , , ,

Supposons le scénario suivant :

  • Un utilisateur demande un certificat.
  • Une Enrollment Policy est configurée à cet effet, qui renvoie à un Certificate Enrollment Policy Web Service (CEP).
  • La connexion au CEP échoue et l'utilisateur reçoit le message d'erreur suivant : 
Error: Access was denied by the remote endpoint. 0x803d0005 -2143485947 WS_E_ENDPOINT_ACCESS_DENIED

Les services web d'enregistrement des certificats (Certificate Enrollment Policy Web Service, CEP et Certificate Enrollment Web Service, CES) permettent de demander et de renouveler automatiquement les certificats d'une autorité de certification via une interface web. Il n'est donc pas nécessaire de contacter directement l'autorité de certification par Remote Procedure Call (RPC). Pour une description plus détaillée, voir l'article "Bases de la demande de certificat via Certificate Enrollment Web Services (CEP, CES)„ .

Causes possibles

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Cette erreur peut avoir les causes suivantes :

  • Le nom principal du service (Service Principal Name, SPN) n'est pas défini ou est défini de manière incorrecte sur le compte de service CEP (vérifier ici également les erreurs de syntaxe dues à une saisie incorrecte de la ligne de commande).
  • Le pool d'applications IIS sur le serveur CEP fonctionne sous le mauvais compte de service.
  • L'authentification en mode noyau IIS est activée pour le CEP lorsque pas l'identité du pool d'applications IIS est utilisée.
  • L'utilisateur n'est pas autorisé à se connecter au CEP (par exemple parce qu'on s'est connecté avec un compte local).
  • Des données de connexion non valables ont été saisies lors de l'authentification avec le nom d'utilisateur et le mot de passe.
  • Si le CEP fonctionne avec un alias : L'alias est-il éventuellement enregistré dans le DNS en tant que CNAME au lieu de A-Record (obligatoire à cause de Kerberos) ?
  • Dans certaines circonstances, l'erreur se produit lors du premier appel après le démarrage du service, de sorte qu'une nouvelle tentative peut déjà apporter le succès souhaité.

Exemples

Faux : Deux noms de principe de service ont été saisis ici en une seule fois,
Vrai Ici, les noms de principe de service ont été inscrits les uns après les autres.

Liens complémentaires :

Les commentaires sont fermés.

fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais