L'installation d'un certificat d'autorité de certification échoue avec le message d'erreur „Insufficient access rights to perform the operation. 0x80072098 (WIN32 : 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)“.“

Supposons le scénario suivant :

• Une autorité de certification (Enterprise Certification Authority) intégrée dans Active Directory est installée.
• Des autorisations déléguées sont utilisées pour l'installation de l'autorité de certification. L'utilisateur qui installe n'est donc pas membre du groupe „Enterprise Administrators“.
• Une fois le certificat d'autorité de certification délivré par l'autorité de certification supérieure, celui-ci est installé afin de finaliser la configuration des rôles.
• L'installation du certificat d'autorité de certification échoue avec le message d'erreur suivant :

Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)

Cause

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Cette erreur se produit lorsque l'utilisateur qui installe le logiciel n'a pas de droits d'écriture sur l'objet NTAuthCertifcates dans la structure globale d'Active Directory.

Le certificat d'autorité de certification est inclus dans cet objet lors de l'installation - même s'il est doit ensuite être retiré directement, Si l'on veut que l'enfant soit en bonne santé, on ne peut pas faire l'impasse sur cette étape.

Erreur de suivi : double certificat d'autorité de certification

Si l'on est tombé dans l'erreur, il faudra recommencer le processus d'installation du certificat d'autorité de certification. Il en résultera malheureusement que le certificat sera saisi plusieurs fois dans la configuration de l'autorité de certification et que le service de l'autorité de certification refusera de démarrer avec le code d'erreur ERROR_INVALID_DATA refusera.

Pour supprimer les instances multiples, il faut supprimer les entrées en double de la clé de registre CACertHash. Celle-ci se trouve à l'emplacement suivant :

HKLM\System\CurrentControlSet\Services\CertSvc\Configuration\{Common-Name-der-Zertifizierungsstelle}

Les entrées en double doivent être supprimées.

Il faut ensuite redémarrer le service d'autorité de certification.

Veuillez noter qu'il y aura également deux copies du même certificat d'autorité de certification dans C:\Windows\System32\CertSrv\CertEnroll.

Liens complémentaires :

• Modifier l'objet NTAuthCertificates dans Active Directory
• Suppression d'anciens certificats d'autorité de certification de la configuration d'une autorité de certification
• Le service d'autorité de certification ne démarre pas et affiche le message d'erreur „The parameter is incorrect. 0x80070057 (WIN32 : 87 ERROR_INVALID_PARAMETER)“.“