Supposons le scénario suivant :
- Un serveur NDES est configuré sur le réseau.
- Lors de l'appel de la page web d'administration (certsrv/mscep_admin), le message suivant apparaît :
You do not have sufficient permission to enroll with SCEP. Please contact your system administrator.
Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) offre la possibilité de demander des certificats auprès d'une autorité de certification pour les périphériques qui ne disposent pas d'un identifiant dans Active Directory (par exemple les périphériques réseau tels que les routeurs, les commutateurs, les imprimantes, les clients légers ou les smartphones et tablettes). Pour une description plus détaillée, voir l'article "Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)„ .
Causes possibles
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Possibilité 1 : les autorisations sur le modèle d'appareil ne sont pas correctes
L'utilisateur qui se connecte à la page d'administration NDES doit avoir le droit d'enroll sur le modèle de certificat configuré.
Possibilité 2 : Mauvais modèle d'appareil configuré
En outre, il convient de configurer si le modèle de certificat correct a été configuré sur le serveur NDES. La configuration des modèles de certificats correspondants se trouve dans le registre sur le serveur NDES sous :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP
Il faut noter que le nom de l'objet LDAP du modèle de certificat est inscrit, c'est-à-dire le nom sans les espaces.
Possibilité 3 : le modèle d'appareil n'est pas publié sur l'autorité de certification
Le message d'erreur apparaît même si le modèle de certificat configuré n'est pas du tout publié sur l'autorité de certification correspondante.
Après la publication, le service NDES doit être redémarré pour que les modifications soient appliquées.
Import-Module -Name WebAdministration Restart-WebAppPool -Name SCEP Start-Sleep -Seconds 15 [void](Invoke-WebRequest -Uri "http://localhost/certsrv/mscep/mscep.dll/pkiclient.exe?operation=GetCACaps")
Possibilité 4 : l'ordre des mappings des handlers n'est pas correct
Si les méthodes précédentes n'ont pas encore donné de résultats, il convient de contrôler l'ordre des mappings des gestionnaires.
Pour ce faire, il faut naviguer dans la console de gestion IIS sur le site web par défaut et cliquer sur "View Applications" sur le côté droit.
NDES se divise en deux applications :
- L'interface de demande de mot de passe à usage unique (mscep_admin).
- L'interface de demande de certificat (mscep).
Les étapes suivantes doivent être effectuées successivement pour les deux applications.
Après avoir double-cliqué sur l'application, l'option "Handler Mappings" est sélectionnée.
Sur le côté droit, on sélectionne "View Ordered List".
Le gestionnaire "StaticFile" doit être placé au-dessus du " ExtensionlessUrlHandler-ISAPI-4.0_64bit".
Ensuite, NDES doit être redémarré via la commande iisreset.
Possibilité 5 : le mode pipeline géré ne correspond pas
Par défaut, le mode pipeline géré pour le pool d'applications "SCEP" est réglé sur "classique". Si ASP.NET 4.5 (ou 4.6, 4.7, 4.8) est installé sur le serveur web (comme c'est le cas pour le Connecteur Microsoft Intune pour NDES est le cas), le mode doit être configuré sur "Integrated".
Français 
Deutsch 
English
Les commentaires sont fermés.