La demande d'un certificat via le Certificate Enrollment Web Service (CES) échoue avec le code d'erreur „WS_E_ENDPOINT_FAULT_RECEIVED“

Supposons le scénario suivant :

Un Certificate Enrollment Web Service (CES) est mis en œuvre sur le réseau.
Une demande de certificat est envoyée au CES.
La demande de certificat échoue avec le message d'erreur suivant :

A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)

Les services web d'enregistrement des certificats (Certificate Enrollment Policy Web Service, CEP et Certificate Enrollment Web Service, CES) permettent de demander et de renouveler automatiquement les certificats d'une autorité de certification via une interface web. Il n'est donc pas nécessaire de contacter directement l'autorité de certification par Remote Procedure Call (RPC). Pour une description plus détaillée, voir l'article "Bases de la demande de certificat via Certificate Enrollment Web Services (CEP, CES)„ .

Causes possibles

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Cause (délégation de) l'authentification Kerberos

La plupart du temps, le code d'erreur WS_E_ENDPOINT_FAULT_RECEIVED signifie que l'authentification Kerberos a échoué. Les causes possibles peuvent être

Le compte d'utilisateur de l'utilisateur demandeur ne peut pas être délégué.
Le compte de l'utilisateur qui fait la demande ne doit pas demander de certificats à l'autorité de certification.
Le compte utilisateur ne possède pas le droit „Request Certificates“ sur l'autorité de certification cible (garanti par défaut par l'adhésion à „Authenticated Users“).
Le serveur CES ne doit pas effectuer d'authentification déléguée.
Le compte de service du CES (généralement représenté par l'appartenance au groupe de sécurité IIS_IUSRS) doit posséder le droit „Impersonate a client after authentication“ (SeImpersonatePrivilage).
Credential Guard ne propose pas de délégation Kerberos Unconstrained, la délégation Kerberos doit donc obligatoirement être effectuée avec Constraint.

Cause Renouvellement basé sur la clé

Si le renouvellement basé sur une clé est utilisé, l'erreur peut également se produire si le compte sous lequel le pool d'applications IIS (WSEnrollmentServer) est exécuté ne possède pas de droits de lecture sur l'autorité de certification. Dans ce cas, le CES ne recevra pas le Événement n° 8 enregistrer.
Si le renouvellement basé sur une clé est utilisé, l'erreur peut également se produire si l'autorité de certification n'a pas activé le drapeau EDITF_ENABLERENEWONBEHALFOF. Dans ce cas, le CES ne recevra pas le Événement n° 9 enregistrer.

Autres causes

La demande de certificat a bien été envoyée à l'autorité de certification, mais elle a échoué. Dans ce cas, le message d'erreur donne plus de détails.

Détails

Le compte de l'utilisateur demandeur ne peut pas être délégué.

Si l'attribut „Account is sensitive and cannot be delegated“ (drapeau LDAP ADS_UF_NOT_DELEGATED) est activé, aucune authentification déléguée ne peut être effectuée.

Si le paramètre est modifié sur le compte de l'utilisateur, l'utilisateur demandeur doit se reconnecter une fois pour que la modification prenne effet.

Le compte de l'utilisateur qui fait la demande ne peut pas demander de certificats à l'autorité de certification.

Dans cet exemple, l'autorisation „Request Certificates“ a été retirée à l'utilisateur sur l'autorité de certification. Par défaut, les „Authenticated Users“ ont l'autorisation „Request Certificates“.

Le serveur CES ne doit pas effectuer d'authentification déléguée

La configuration de la délégation dépend de la manière dont le CES a été configuré. Pour plus de détails, voir l'article „Présentation des paramètres de délégation possibles pour le service Web d'enregistrement de certificats (CES)„ .

Le groupe de sécurité IIS_IUSRS doit avoir le droit „Impersonate a client after authentication“.

Le compte de service sous lequel le service CES est exploité (l'identité du pool d'applications IIS) nécessite le droit „Impersonate a Client after Authentication“. Pour plus de détails, voir l'article „Autorisations de sécurité Windows requises pour le service web d'enregistrement des certificats (CES)„ .

La demande de certificat a été envoyée avec succès à l'autorité de certification, mais a échoué.

Le message d'erreur peut également apparaître lorsque la demande de certificat a pu être envoyée avec succès à l'autorité de certification - le CES fonctionne donc correctement - mais que la demande de certificat échoue sur l'autorité de certification. Dans ce cas, le code d'erreur WS_E_ENDPOINT_FAULT_RECEIVED apparaît toutefois en combinaison avec le message d'erreur de l'échec de la demande de certificat.

Dans l'exemple ci-dessous, la demande de certificat échoue parce que l'utilisateur n'a pas d'adresse e-mail, mais que celle-ci doit être ajoutée au certificat délivré conformément aux paramètres du modèle de certificat. Le message d'erreur 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED) est donc également affiché.

Dans l'exemple ci-dessous, la demande de certificat échoue parce que le modèle de certificat configuré contient une politique d'émission non valable (en anglais : Iossuance Policy). En conséquence, le message d'erreur 0x800b0113 (-2146762477 CERT_E_INVALID_POLICY) est également affiché.

La demande d'un certificat via le service Web d'inscription de certificats (CES) échoue avec le code d'erreur „ WS_E_ENDPOINT_FAULT_RECEIVED “.“