Le renouvellement d'un certificat via le service d'enregistrement des périphériques réseau (NDES) échoue avec le code d'erreur CERT_E_UNTRUSTEDCA

Supposons le scénario suivant :

• Un certificat est demandé via le service d'enregistrement des équipements de réseau (NDES).
• Le mode de renouvellement est utilisé ici, c'est-à-dire que la demande de certificat est signée avec un certificat existant.
• La demande du nouveau certificat échoue avec le message d'erreur suivant :

A certification chain processed correctly, but one of the CA
certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)

Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) offre la possibilité de demander des certificats auprès d'une autorité de certification pour les périphériques qui ne disposent pas d'un identifiant dans Active Directory (par exemple les périphériques réseau tels que les routeurs, les commutateurs, les imprimantes, les clients légers ou les smartphones et tablettes). Pour une description plus détaillée, voir l'article "Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)„ .

Le code d'erreur n'est affiché que sur le client, et cela dépend du client SCEP utilisé. Le site PSCertificateEnrollment Module PowerShell évalue les codes d'erreur renvoyés par le serveur NDES, mais il se peut que les autres clients ne le fassent pas.

Sur le serveur NDES lui-même, seul le Événement n° 28 mais cela peut facilement induire en erreur.

Cause

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

La raison en est que pour l'utilisation du mode de renouvellement via NDES, l'autorité de certification qui émet les certificats à renouveler, Membre de NTAuthCertificates doit être le même. Si l'autorité de certification a été supprimée de NTAuthCertificates, le mode de renouvellement ne peut pas être utilisé.

Liens complémentaires :

• Demande de certificat pour les systèmes Windows via le service d'enregistrement des périphériques réseau (NDES) avec Windows PowerShell
• Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)
• Y a-t-il une dépendance du service d'enregistrement des périphériques réseau (NDES) avec l'objet NTAuthCertificates ?
• Modifier l'objet NTAuthCertificates dans Active Directory