Supposons le scénario suivant :
- Un serveur pour l'enregistrement web des autorités de certification (Certificate Authority Web Enrollment, CAWE) est installé sur le réseau.
- Le rôle est installé sur un serveur séparé, pas directement sur l'autorité de certification.
- Un utilisateur tente de demander un certificat via l'enregistrement web de l'autorité de certification ou de soumettre une demande de certificat existante à l'autorité de certification.
- La demande échoue avec le message d'erreur suivant :
Your request failed. An error occurred while the server was processing your request. Contact your administrator for further assistance.
Dans les détails du message d'erreur, on trouve la remarque suivante :
CCertRequest::Submit: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
L'enregistrement web des autorités de certification est une très vieille fonction datant de l'époque de Windows 2000 - et a été adaptée pour la dernière fois lors de la sortie de Windows Server 2003. Le code est donc ancien et potentiellement peu sûr. De même, la fonction pas de modèles de certificats avec la version 3 ou plus récente - les modèles de certificats qui utilisent des fonctions introduites avec Windows Vista / Windows Server 2008 ou plus récent ne sont donc pas utilisables. Il est recommandé de ne pas utiliser l'enregistrement web de l'autorité de certification et d'effectuer une demande de certificat par le biais des outils de bord ou de l'interface utilisateur. PSCertificateEnrollment module PowerShell.
Les causes possibles peuvent être
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
- L'autorité de certification n'est pas joignable, par exemple parce qu'un pare-feu empêche la connexion. Si le pare-feu rejette les paquets sans en avertir l'expéditeur, cela se traduit dans CAWE par le fait que la demande "traîne" très longtemps avant que le message d'erreur ne soit généré.
- Le compte de service sous lequel le CAWE est exécuté n'est pas configuré pour la délégation ou ne l'est pas correctement.
- Le compte de service sous lequel CAWE est exécuté n'est pas membre du groupe de sécurité "Windows Authorization Access".
- Le compte d'utilisateur avec lequel le certificat a été demandé ne peut pas être délégué.
- L'authentification à l'interface RPC/DCOM de l'autorité de certification n'est pas possible ou la connexion est bloquée par un pare-feu.
Détails : le compte de service sous lequel le CAWE est exécuté n'est pas configuré pour la délégation ou ne l'est pas correctement.
Malheureusement, les messages d'erreur émis par CAWE ne sont pas très explicites. L'erreur RPC_S_SERVER_UNAVAILABLE se produit notamment lorsque la délégation de l'authentification des utilisateurs à l'autorité de certification échoue et que CAWE fonctionne avec l'identité du pool d'applications IIS.
Pour les variantes de délégation qui ne permettent qu'une authentification Kerberos pure, l'authentification NTLM n'est plus possible. Il s'agit de
- "Trust this User for delegation to any service (Kerberos only)" (Faire confiance à cet utilisateur pour la délégation de tout service (Kerberos seulement))
- "Trust this user for delegation to specified services only" en combinaison avec "Use Kerberos only".
Pour un bon fonctionnement de CAWE, il est donc recommandé de définir les paramètres de délégation sur "Trust this user for delegation to specified services only" en combinaison avec "Use any authentication protocol".
Voir aussi les articles suivants :
- Configurer le registre web de l'autorité de certification (CAWE) pour l'utiliser avec un compte de service gMSA (Group Managed Service Account)
- Configurer l'enregistrement web de l'autorité de certification (CAWE) pour l'utiliser avec un compte de domaine
Détails : le compte d'utilisateur avec lequel le certificat a été demandé ne peut pas être délégué.
Si l'option "Account is sensitive and cannot be delegated" (drapeau LDAP ADS_UF_NOT_DELEGATED) est activé, CAWE ne peut pas impersonaliser l'utilisateur pour la demande de certificat. Il en va de même si l'utilisateur est membre du groupe "Protected Users".
Détails : il n'est pas possible de s'authentifier auprès de l'interface RPC/DCOM de l'autorité de certification ou la connexion est bloquée par un pare-feu.
La CAWE prend une position régulière vis-à-vis de l'autorité de certification. Demande de certificat via DCOM se produit. Les erreurs qui peuvent survenir en raison d'un problème de connexion réseau ou d'authentification à l'interface RPC/DCOM provoquent le code d'erreur RPC_S_SERVER_UNAVAILABLE.
Pour une description détaillée de toutes les causes possibles, voir l'article "La demande de certificat échoue avec le message d'erreur "The certificate request could not be submitted to the certification authority. Error : The RPC server is unavailable. 0x800706ba (WIN32 : 1722 RPC_S_SERVER_UNAVAILABLE)"„ .
Liens complémentaires :
- Règles de pare-feu requises pour l'enregistrement sur le web de l'autorité de certification
- Configurer le registre web de l'autorité de certification (CAWE) pour l'utiliser avec un compte de service gMSA (Group Managed Service Account)
- Configurer l'enregistrement web de l'autorité de certification (CAWE) pour l'utiliser avec un compte de domaine
Français 
Deutsch 
English
Les commentaires sont fermés.