Avec Windows Server 2008, les algorithmes NSA Suite B (également connus sous le nom de Cryptography Next Generation, CNG) ont introduit, avec les fournisseurs de stockage de clés, une nouvelle interface moderne pour la création, le stockage et l'utilisation de clés privées dans l'écosystème Windows.
Dans la plupart des cas, le CSP ou le KSP utilisé pour les certificats n'a pas d'importance. Toutefois, certaines applications ne fonctionneront pas ou pas correctement si le fournisseur choisi n'est pas le bon.
Voici une liste des cas d'utilisation que je connais pour les certificats qui ne fonctionnent qu'avec un fournisseur de services cryptographiques (CSP) ou un fournisseur de stockage de clés (KSP) spécifique.
Use Cases, die nur CSP akzeptieren
| Type de certificat | Symptom/Auswirkung |
|---|---|
| Network Device Enrollment Service (NDES) Registration Authority Zertifikate | Dienst startet nicht, da RA-Zertifikate nicht gefunden werden (Ereignisse Nr. 2 et 10). |
| Intune Connector für NDES, Clientauthentifizierungs-Zertifikat | C:\NDESConnectorSetup\SetupMSI.log wird festhalten, dass die Berechtigungen auf den privaten Schlüssel des Zertifikats nicht gesetzt werden können („AddNDESToCertPrivKey: Error 0x80090014: CryptAcquireContext failed with bad provider type 0x0“). |
| Active Directory Web Services (ADWS) und damit unter Umständen Contrôleur de domaine et Remotedesktop ebenso | Ereignis Nr. 1402 der Quelle ADWS wird protokolliert. Das Debug-Protokoll wird eingetragen: „ProvisionCertificate: caught a CryptographicException: System.Security.Cryptography.CryptographicException: Invalid provider type specified.“. Die Zertifikatauswahl bricht bereits ab, wenn nur eines der Zertifikate im Maschinen-Zertifikatspeicher keinen CSP verwendet, auch wenn dieses überhaupt nicht für die ADWS nutzbar wäre. |
| Exchange 2013 Forms-based Authentication (FBA) Exchange 2016 (bis CU3) Forms-based Authentication (FBA) | Nach Anmeldung an der FBA landet man wieder auf der Anmeldeseite. Zertifikatimport kann mit Fehlercode NTE_BAD_DATA fehlschlagen. |
| Forefront Identity Manager (FIM) / Microsoft Identity Manager (MIM) Certificate Managemt (CM) Agent | |
| Forefront Identity Manager (FIM) / Microsoft Identity Manager (MIM) Certificate Managemt (CM) Admin Key Diversify | |
| Forefront Identity Manager (FIM) / Microsoft Identity Manager (MIM) Certificate Managemt (CM) Key Recovery Agent | |
| Microsoft SQL Server | Empfohlen wird der RSA SChannel Cryptographic Provider |
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Details: Intune Connector für NDES
Wird ein Zertifikat basierend auf einem Key Storage Provider (KSP) verwendet, äußert sich dies dadurch, dass das Setup mit einer nichtssagenden Fehlermeldung abbricht.
Microsoft Intune Connector Setup Wizard ended prematurely because of an error. Your system has not been modified. To install this program at a later time, run Setup Wizard again. Click the Finish button to exit the Setup Wizard.
In der Protokolldatei C:\NDESConnectorSetup\SetupMSI.log wird festhalten, dass die Berechtigungen auf den privaten Schlüssel des Zertifikats nicht gesetzt werden können.
AddNDESToCertPrivKey: Error 0x80090014: CryptAcquireContext failed with bad provider type 0x0
Das Problem kann dadurch gelöst werden, dass eine Zertifikatvorlage mit Kompatibilität Windows Server 2003 bzw. Windows XP verwendet wird. Hierdurch wird für die Erzeugung des Schlüsselpaars ein Cryptographic Service Provider (CSP) verwendet.
Use Cases, die nur KSP akzeptieren
| Type de certificat | Auswirkung |
|---|---|
| Microsoft Online Responder (OCSP) Signaturzertifikat | Nicht konfigurierbar. |
Liens complémentaires :
- Le service d'enregistrement des périphériques réseau (NDES) consigne le message d'erreur "The Network Device Enrollment Service cannot retrieve one of its required certificates (0x80070057). The parameter is incorrect".
- Principes de base : fournisseur de services cryptographiques (CSP) et fournisseur de stockage de clés (KSP)
Sources externes
- SQL Server service can’t start after you configure an instance to use a Secure Sockets Layer certificate (Microsoft)
- Outlook Web App and ECP redirect to the FBA page in Exchange Server 2013 (Microsoft)
- The One With The FBA Redirect Loop (Microsoft)
- Sécurisation et renforcement du service d'inscription des périphériques réseau pour Microsoft Intune et System Center Configuration Manager (Microsoft)
- Installing NDES connector for Intune fails to install NDES certificate (Microsoft)
- certutil 0x80090005 (-2146893819 NTE_BAD_DATA) (ugg.li)
- Active Directory Web Services was unable to process the server certificate. (Forums Microsoft TechNet)
- „Invalid provider type specified“ error when accessing X509Certificate2.PrivateKey on CNG certificates (MSDN Blogs, Archivlink)
Français 
Deutsch 
English
Les commentaires sont fermés.