La connexion via carte à puce échoue avec le message d'erreur "The revocation status of the authentication certificate could not be determined".

Supposons le scénario suivant :

• Un utilisateur dispose d'un Connexion par carte à puce et se connecte au domaine Active Directory avec ce certificat.
• La connexion échoue. Le message d'erreur suivant est renvoyé à l'utilisateur sur son ordinateur :

The revocation status of the authentication certificate could not be determined.

En allemand, le message est le suivant

Der Sperrstatus des für die Authentifizierung verwendeten Smartcard-Zertifikats konnte nicht ermittelt werden.

Un événement correspondant doit également être consigné sur le contrôleur de domaine d'authentification qui a traité la connexion :

• Détails de l'événement avec ID 21 de la source Microsoft-Windows-Kerberos-Key-Distribution-Center

Causes possibles

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

• Il n'y a pas de Informations sur l'état de blocage disponible, par exemple parce que le serveur sur lequel se trouvent les points de distribution de la liste de blocage n'est pas accessible depuis le contrôleur de domaine authentifiant (hors ligne ou par une Pare-feu bloqué), ou parce que les points de distribution de listes de blocage sont accessibles, mais que les listes de blocage ont expiré.
• Le site déterministe Good du site Répondants en ligne (OCSP) a un Statut de "Inconnu est renvoyé au contrôleur de domaine.

Les problèmes liés aux points de distribution des listes de révocation (disponibilité et actualité des listes de révocation) peuvent concerner n'importe quel certificat de la chaîne de certificats à vérifier, par exemple aussi lorsque la liste de révocation d'une autorité de certification de la chaîne a expiré (classiquement l'autorité de certification racine dont le renouvellement de la liste de révocation a été omis).

Si la liste de révocation de l'autorité de certification de base devait avoir expiré, il s'agit d'une erreur consécutive fréquente, que les autorités de certification subordonnées ne démarrent plusLes services de certification ne sont pas des services de certification de l'autorité de certification, car ils vérifient la validité de leur propre certificat d'autorité de certification au démarrage du service.

Liens complémentaires :

• La connexion via carte à puce échoue avec le message d'erreur "Signing in with a security device isn't supported for your account".
• Configurer le "bon" déterministe pour le répondeur en ligne (OCSP)
• Modèles de certificats de contrôleur de domaine et inscription par carte à puce
• Règles de pare-feu requises pour Active Directory Certificate Services
• Principes de base : vérification du statut de révocation des certificats
• Principes de base du répondeur en ligne (Online Certificate Status Protocol, OCSP)