- Un certificat est demandé pour un utilisateur auprès d'une autorité de certification via la console de gestion des certificats (certmgr.msc).
- On utilise pour cela le Inscription à la demande de (EOBO) Mécanisme.
- La demande de certificat échoue avec le message d'erreur suivant :
A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)
L'organisme de certification va Événement n° 22 enregistrer.
Cause
Se produit lorsque l'autorité de certification qui a émis le certificat d'agent d'inscription n'est pas membre de NTAuthCertificates dans Active Directory.
L'objet NTAuthCertificates se trouve en dessous du conteneur Public Key Services dans la partition de configuration de la structure globale d'Active Directory. Il contient tous les certificats d'autorité de certification qui peuvent être utilisés pour une ouverture de session basée sur un certificat dans l'écosystème Windows.
Le chemin d'accès LDAP complet est le suivant :
CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,{Forest-Root-Domain}
Les fonctions suivantes, basées sur les certificats, nécessitent la présence du certificat CA dans l'objet NTAuthCertificates :
| Fonction | Description |
|---|---|
| Enroll on Behalf Of (EOBO) (inscription à l'appui) | Le certificat CA de l'autorité de certification qui délivre les certificats pour les agents d'inscription doit se trouver dans NTAuthCertificates. |
| Récupération de clés / Archivage de clés privées | Le certificat CA de l'autorité de certification qui archive les clés doit se trouver dans NTAuthCertificates. |
| Connexion par carte à puce | Le certificat CA de l'autorité de certification qui émet les certificats des contrôleurs de domaine et des utilisateurs qui se connectent doit se trouver dans NTAuthCertificates. |
| Windows Hello for Business | Identique à Smartcard Logon. Si Windows Hello for Business devient sans certificats, seule l'autorité de certification pour les contrôleurs de domaine doit être inscrite. |
| Serveur de stratégie réseau (Network Policy Server, NPS) lorsque des connexions basées sur des certificats sont traitées (par ex. 802.1x via un réseau sans fil ou câblé, DirectAccess, Always ON VPN) | Le certificat CA de l'autorité de certification qui émet les certificats des utilisateurs ou des ordinateurs qui se connectent doit se trouver dans NTAuthCertificates. |
| Agents de récupération de fichiers EFS | Le certificat CA de l'autorité de certification qui délivre les certificats des agents de récupération de fichiers doit se trouver dans NTAuthCertificates. |
| Mappage de certificat client IIS (contre Active Directory) | Le certificat CA de l'autorité de certification qui émet les certificats des utilisateurs qui se connectent doit se trouver dans NTAuthCertificates. |
| Service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES), mode renouvellement uniquement | Ne concerne que le mode de renouvellement, c'est-à-dire la signature d'une demande de certificat avec un certificat existant. Le certificat CA de l'autorité de certification qui a délivré les certificats des certificats à renouveler doit se trouver dans NTAuthCertificates. |
Lorsqu'une autorité de certification intégrée à Active Directory (Enterprise CA) est réinstallée, son certificat CA est automatiquement copié dans l'objet NTAuthCertificates par la routine d'installation. Dans le cas présent, le certificat CA a été supprimé ultérieurement de l'objet.
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Pour une explication sur l'inclusion du certificat d'autorité de certification dans l'objet NTAuthCertificates, voir l'article „Modifier l'objet NTAuthCertificates„ .
Pour des raisons de sécurité, il peut être tout à fait recommandé qu'un certificat d'autorité de certification ne se trouve pas dans l'objet NTAuthCertificates. Les certificats CA ajoutés sont considérés comme fiables par toutes les fonctions énumérées précédemment. Cela peut représenter un risque pour la sécurité, à supposer que l'autorité de certification soit reprise par un attaquant. Avant d'ajouter de nouveaux certificats CA à l'objet NTAuthCertificates, il convient de procéder à une évaluation de la sécurité. En général, il y a une raison pour laquelle le certificat CA a été retiré de NTAuthCertificates.
Français 
Deutsch 
English
Les commentaires sont fermés.