Supposons le scénario suivant :
- Une demande de certificat est effectuée sur un système Linux (par exemple un client léger) au moyen de SSCEP contre un Service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) a été réalisée.
- La demande de certificat échoue avec le message d'erreur suivant :
sscep: Subject of our request does not match that of the returned Certificate!
Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) offre la possibilité de demander des certificats auprès d'une autorité de certification pour les périphériques qui ne disposent pas d'un identifiant dans Active Directory (par exemple les périphériques réseau tels que les routeurs, les commutateurs, les imprimantes, les clients légers ou les smartphones et tablettes). Pour une description plus détaillée, voir l'article "Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)„ .
SSCEP compare le sujet de la demande de certificat soumise avec le certificat délivré.
sscep: decrypting inner PKCS#7 sscep: PKCS#7 payload size: 2005 bytes write_local_cert(): found 1 cert(s) sscep: found certificate with subject: '/OU=IT/O=ADCS Labor/CN=testsceprequest' issuer: /C=DE/ST=Bavaria/L=Munich/O=ADCS Labor/OU=IT/CN=ADCS Labor Issuing CA 1 request_subject: '/O=ADCS Labor/OU=IT/CN=testsceprequest' Subject of the returned certificate: /OU=IT/O=ADCS Labor/CN=testsceprequest Subject of the request: /O=ADCS Labor/OU=IT/CN=testsceprequest X509_NAME_cmp() workaround: strcmp request subject (/O=ADCS Labor/OU=IT/CN=testsceprequest) to cert subject (/OU=IT/O=ADCS Labor/CN=testsceprequest) sscep: Subject of our request does not match that of the returned Certificate! sscep: certificate written as local.crt
Si ce message apparaît, cela signifie que le certificat a été émis avec succès par l'autorité de certification, mais que le sujet demandé a été rejeté par l'autorité de certification sur la base de l'évaluation des risques. règles définies sont modifiées, La comparaison par SSCEP échoue donc.
Les solutions possibles peuvent être
- Adapter l'ordre des Relative Distinguished Names (RDN) dans le Subject de la demande de certificat afin qu'il corresponde aux règles définies (solution préférée).
- Adapter l'ordre sur l'autorité de certification afin qu'il corresponde au sujet dans la demande de certificat.
- Configurer l'autorité de certification pour qu'elle adopte le sujet demandé 1:1 (non recommandé).
Liens complémentaires :
- Noms distinctifs relatifs (RDN) autorisés dans le Subject Distinguished Name (DN) des certificats délivrés
- Modifier l'ordre des noms distincts relatifs (RDN) dans le nom distinct du sujet (DN) des certificats émis
- Utilisation de noms distinctifs relatifs (RDN) non définis dans les certificats délivrés
- Installer SSCEP pour Linux (Debian Buster) et demander des certificats via le service d'enregistrement des périphériques réseau (NDES)
Français 
Deutsch 
English
Les commentaires sont fermés.