Le service d'enregistrement des périphériques réseau (NDES) consigne le message d'erreur "The Network Device Enrollment Service cannot retrieve one of its required certificates (0x80070057). The parameter is incorrect".

Supposons le scénario suivant :

• Un serveur NDES est configuré sur le réseau.
• L'erreur HTTP 500 (Internal Server Error) est signalée lors de l'appel de la page web de demande NDES (mscep) et de la page web d'administration NDES (certsrv/mscep_admin).
• Les événements n 2 et 10 enregistré dans le journal des événements de l'application :

The Network Device Enrollment Service cannot be started (0x80070057). The parameter is incorrect.

The Network Device Enrollment Service cannot retrieve one of its required certificates (0x80070057). The parameter is incorrect.

Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) offre la possibilité de demander des certificats auprès d'une autorité de certification pour les périphériques qui ne disposent pas d'un identifiant dans Active Directory (par exemple les périphériques réseau tels que les routeurs, les commutateurs, les imprimantes, les clients légers ou les smartphones et tablettes). Pour une description plus détaillée, voir l'article "Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)„ .

Causes possibles

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Cette erreur se produit lorsque le service NDES ne parvient pas à fournir les données requises. Autorité d'enregistrement ne peut pas utiliser les certificats.

Les causes possibles peuvent être

• Il n'y a pas du tout de certificats d'autorité d'enregistrement (par ex. si le service a été installé manuellement et qu'elles n'ont pas encore été demandées).
• Le site Certificats d'autorité d'enregistrement (RA) sont périmés et doivent être renouvelés.
• Le site Certificats d'autorité d'enregistrement (RA) utilisent un Fournisseur de stockage de clés (KSP) au lieu d'un fournisseur de services cryptographiques (CSP) pour le stockage des clés privées. Les certificats NDES RA doivent obligatoirement utiliser un CSP.
• Les certificats d'autorité d'enregistrement ont été délivrés par la mauvaise autorité de certification. Ils doivent toujours provenir de l'autorité de certification à laquelle le serveur NDES a fait appel pour demander les certificats. Certificats d'appareils est configurée. Si plusieurs autorités de certification proposent les modèles de certificats Registration Authority, il peut arriver que la mauvaise autorité de certification ait été sélectionnée lors de la demande ou du renouvellement des certificats, par exemple si la demande a été effectuée par Autoenrollment ou via Microsoft Management Console car, dans ce cas, une autorité de certification est choisie au hasard si plusieurs sont disponibles.
• Un ou les deux certificats d'autorité d'enregistrement n'ont pas configuré l'extension Key Usage correcte. Le certificat CEP Encryption nécessite "Key Encipherment", le certificat Enrollment Agent nécessite "Signature".
• L'identité du pool d'applications SCEP dans le serveur d'information Internet (IIS) n'a pas de droit de lecture sur les clés privées des certificats (par exemple si un compte de domaine ou un Compte de service gMSA (Group Managed Service Account) ou si l'Autorité d'enregistrement a configuré des certificats demandé manuellement et n'ont pas été Autorisations pour le pool d'applications SCEP sur la clé privée ont été attribués).
• Les certificats d'autorité d'enregistrement ne peuvent pas être vérifiés, car leur État de blocage ne peut pas être vérifiée. Des exemples peuvent en être donnés :
  • Les certificats Registration Authority ne contiennent pas d'informations de révocation (en anglais CRL Distribution Point, CRLDP), car l'autorité de certification n'est pas configurée pour les inscrire dans les certificats délivrés.
  • Les points de distribution de la liste de blocage ne sont pas accessibles.
  • Les listes de blocage ou ne peuvent pas être récupérées par le point de distribution des listes de blocage. N'oubliez pas non plus que la fonction "Double Escaping" doit être activée sur le serveur web IIS si des listes de blocage delta sont utilisées.
  • Les listes de blocage ont expiré.

Liens complémentaires :

• Utiliser ses propres modèles de certificats d'autorité d'enregistrement (RA) pour le service d'enregistrement des périphériques réseau (NDES)
• Renouveler les certificats d'autorité d'enregistrement (RA) pour le Network Device Enrollment Service (NDES)
• Installer le service d'enregistrement des périphériques réseau (NDES) sans les droits d'Enterprise Administrator
• Liste des cas d'utilisation des certificats nécessitant des fournisseurs de services cryptographiques (CSP) ou des fournisseurs de stockage de clés (KSP) spécifiques
• Principes de base : vérification du statut de révocation des certificats

Sources externes

• Microsoft - NDES Site Shows 'HTTP Error 500.0 - Erreur interne du serveur (Steve Long)
• ConfigMgr - Déploiement de certificat NDES échoue en raison d'une défaillance du service d'inscription des périphériques réseau (Martin Wüthrich)
• 0x80070057 - Une histoire de service d'inscription de périphérique réseau et de certificats (Robert Kooistra)