Effectuer un test fonctionnel pour le Certificate Enrollment Policy Web Service (CEP)

Après l'installation d'un serveur de stratégie d'enregistrement de certificats (Certificate Enrollment Policy Web Service, CEP) ou après des travaux de maintenance importants, il convient de procéder à un test fonctionnel approfondi afin de s'assurer que tous les composants fonctionnent comme prévu.

Les services web d'enregistrement des certificats (Certificate Enrollment Policy Web Service, CEP et Certificate Enrollment Web Service, CES) permettent de demander et de renouveler automatiquement les certificats d'une autorité de certification via une interface web. Il n'est donc pas nécessaire de contacter directement l'autorité de certification par Remote Procedure Call (RPC). Pour une description plus détaillée, voir l'article "Bases de la demande de certificat via Certificate Enrollment Web Services (CEP, CES)„ .

Procédure

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Les étapes suivantes font partie d'un test de fonctionnement du serveur de politiques de demande de certificat :

• Assurer le démarrage du service de serveur de politiques de demande de certificat
• Examen de l'Observateur d'événements du serveur de politiques de demande de certificats
• Vérifier la connexion au serveur de politiques de demande de certificat
• Créer une politique de demande de certificat
• Obtenir des modèles de certificats via le serveur de politiques de demande de certificats
• Demander un certificat avec CEP

Détails : assurer le démarrage du service de serveur de politiques de demande de certificat

Comme le serveur de politiques de demande de certificat est réalisé en tant que module au sein du service Internet Information Server (IIS), il n'est pas possible de contrôler le démarrage du service via le compte d'administration des services (services.msc). Au lieu de cela, un fichier Événement avec n° 1 enregistré dans l'affichage des événements.

Celui-ci n'est toutefois généré que lors du premier appel par un demandeur, de sorte que l'étape „Vérifier la connexion au serveur de politique de demande de certificat“ décrite plus bas doit d'abord être exécutée.

Détails : vérification de l'Observateur d'événements du serveur de politiques de demande de certificats

Voir aussi à ce sujet l'article "Présentation des événements Windows générés par le service de stratégie d'enregistrement des certificats (CEP)„ .

Tout d'abord, l'Observateur d'événements de Windows sur le serveur de politiques de demande de certificat doit être examiné pour tous les événements pertinents qui pourraient indiquer une erreur. Pour cela, il existe dans l'Observateur d'événements une vue prédéfinie sous „Custom Views“ - „Server Roles“ - „Active Directory Certificate Services“, qui a déjà défini les filtres nécessaires sur l'Observateur d'événements.

Détails : vérifier la connexion au serveur de politiques de demande de certificat

L'authentification Kerberos peut être testée à l'aide de la commande de ligne de commande suivante.

certutil -ping -kerberos -config "https://{Servername}/ADPolicyProvider_CEP_Kerberos/service.svc/CEP" CEP

L'authentification par nom d'utilisateur et mot de passe peut être testée à l'aide de la commande de ligne de commande suivante.

certutil -username {Domäne}\{Benutzername} -p {Passwort} -ping -config "https://{Servername}/ADPolicyProvider_CEP_UsernamePassword/service.svc/CEP" CEP

L'authentification avec un certificat client peut être testée avec la commande de ligne de commande suivante.

certutil -ClientCertificate {Thumbprint} -ping -config "https://{ServerName}/ADPolicyProvider_CEP_Certificate/service.svc/CEP" CEP

Si vous rencontrez des problèmes lors de cette étape, les articles suivants peuvent vous être utiles :

• Windows Defender détecte certutil comme un logiciel malveillant (Win32/Ceprolad.A)

Détails : créer une politique de demande de certificat

Il est maintenant possible de configurer une politique de demande de certificat. La procédure est décrite dans l'article „Configuration d'une politique de demande de certificat (Enrollment Policy) pour les services web de demande de certificat (CEP, CES)" décrit.

Si vous rencontrez des problèmes lors de cette étape, les articles suivants peuvent vous être utiles :

• La création d'une politique d'enregistrement des certificats (Enrollment Policy) pour le Certificate Enrollment Policy Web Service (CEP) échoue avec le message d'erreur "This ID conflicts with an existing ID".
• La création d'une politique d'enregistrement des certificats (Enrollment Policy) pour le Certificate Enrollment Policy Web Service (CEP) échoue avec le code d'erreur „WS_E_INVALID_FORMAT“.“
• La création d'une politique d'enregistrement des certificats (Enrollment Policy) pour le Certificate Enrollment Policy Web Service (CEP) échoue avec le code d'erreur „WS_E_ENDPOINT_NOT_FOUND“.“
• La vérification de la politique d'enregistrement des certificats via le service Web CEP (Certificate Enrollment Policy) échoue avec le code d'erreur „ WS_E_ENDPOINT_FAULT_RECEIVED “.“
• La demande de certificat échoue avec le message d'erreur „You cannot request a certificate at this time because no certificate types are available“.“

Détails : demander des modèles de certificats via le serveur de politiques de demande de certificats

Si une politique de demande de certificat a été configurée pour l'utilisateur actuel comme décrit précédemment, elle permet maintenant d'interroger les modèles de certificat via le serveur de politique de demande de certificat.

certutil -template -policyserver *

Il s'agit d'informations stockées temporairement qui ne sont générées que lorsqu'une requête a été effectuée au préalable avec la console de gestion Microsoft (MMC).

Demander un certificat avec CEP

Pour cela, il faut d'abord installer un service web d'enregistrement des certificats (Certificate Enrollment Web Service, CES) sur le réseau. Une description de la procédure se trouve dans l'article „Installation d'un Certificate Enrollment Web Service (CES)„ .

Ensuite, une politique d'enregistrement des certificats peut être mise en place et un certificat peut être demandé via les services web.

Si vous rencontrez des problèmes lors de cette étape, les articles suivants peuvent vous être utiles :

• La demande d'un certificat via les Certificate Enrollment Web Services échoue avec le message d'erreur „Error : The remote endpoint is unable to process the request due to being overloaded. 0x803d0012 (-2143485934 WS_E_ENDPOINT_TOO_BUSY)“.“
• La demande d'un certificat via les Certificate Enrollment Web Services échoue avec le message d'erreur „Error : A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)“.“
• La demande d'un certificat via les Certificate Enrollment Web Services échoue avec le message d'erreur „Error : The operation timed out 0x80072ee2 (WinHttp : 12002 ERROR_WINHTTP_TIMEOUT)“.“
• La demande d'un certificat via le Certificate Enrollment Policy Web Service (CEP) échoue avec le message d'erreur „ERROR_WINHTTP_CONNECTION_ERROR“.“
• La demande d'un certificat via le Certificate Enrollment Policy Web Service (CEP) échoue avec le message d'erreur „The requested certificate template is not supported by this CA“.“
• La demande d'un certificat via le Certificate Enrollment Policy Web Service (CEP) échoue avec le message d'erreur "A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted".
• La demande d'un certificat via le Certificate Enrollment Policy Web Service (CEP) échoue avec le message d'erreur „Error : Access was denied by the remote endpoint. 0x803d0005 -2143485947 WS_E_ENDPOINT_ACCESS_DENIED“.“
• La demande d'un certificat via le Certificate Enrollment Web Service (CES) échoue avec le code d'erreur "ERROR_WINHTTP_INVALID_CA".

D'autres erreurs qui peuvent survenir à ce stade et qui sont à l'origine du service web d'enregistrement des certificats (CES) sont décrites dans l'article „Certificate Registration Web Service".„Effectuer un test fonctionnel pour le Certificate Enrollment Web Service (CES)" décrit.

Retouches

Si une stratégie de demande de certificat a été configurée manuellement pour le test, elle peut maintenant être supprimée. La procédure à suivre est décrite dans l'article „Suppression d'une politique de demande de certificat (Enrollment Policy) configurée manuellement" décrit.

Liens complémentaires :

• Installation d'un Certificate Enrollment Web Service (CES)