Remove From My Forums

NDES avec Router Cisco Error 500 on IIS

Question
0

Connectez-vous pour voter
Hello,
I am using a certificate authority on Windows 2008 R2 enterprise. I have try without success to use SCEP (NDES) to enroll some cisco router

The router authenticate the Authority, but when I try to enroll I got an error 500 From IIS in the log

GET /certsrv/mscep/mscep.dll/pkiclient.exe operation=PKIOperation&message=MII... (long message = certificate request)

When I copy the certificate request, correcting the % character and paste into the web GUI, I get an error 0x8009200e

(In french le message signé n'a pas de signataire pour l'index des signataires spécifiés)

crypto pki trustpoint O2-CA enrollment mode ra enrollment url http://serverFQDN:80/certsrv/mscep/mscep.dll usage ike serial-number none fqdn NAMEofROUTER ip-address none subject-name C=FR, ST=Place O=o2, CN=FQDNof ROUTER ,E=Email revocation-check none rsakeypair NameOfKeyPair

crypto ca authenticate O2-CA Working

crypto ca enroll O2-CA Failed

No Error message in the event log or in the CAPI2 Event log

I already installed the hotfix to make the GetCACaps return something

I check that my user have access to the private key of the NDES certificate, and he is member of the IIS_IUSR Group

I already change the config of IIS to be able to accept url of 4096 characters

I can get a certificate for my router viw the Web UI,

only NDES is not working,

I don't know what to do next, if someone could help me

thanks in advance
JLO
mardi 6 septembre 2011 11:32

Réponses

0

Connectez-vous pour voter
Bonjour,

Pour l'instant pas de stratégies d'enrollement automatique, Pour les test j'ai autorisé l'enrollement pour "tout le monde" sur les modèles IPSEC (Hors Connexion) et IPSEC

J'arrive à obtenir un certifcat via l'interface web, c'est le module NDES que je n'arrive pas à faire fonctionner.

cordialement

Jean-Luc

JLO
Finalement le problème venait d'une autre application (jakarta qui renvoyait certaines demandes vers un serveur java)

J'ai déplacé l'autre application sur un site différent et tout s'est mis à fonctionner.
- Modifié Jean-Luc974 jeudi 1 mars 2012 13:17 Solution trouvée
- Marqué comme réponse Jean-Luc974 jeudi 1 mars 2012 13:17
lundi 12 septembre 2011 13:19

Toutes les réponses

1

Connectez-vous pour voter

Bonjour,

vous pouvez utiliser le français sur ce forum!!! C'est même fortement conseillé voire correspondant aux règles d'utilisation!

Quelles sont les stratégies mises en place sur dans l'autorité? pour quels utilisateurs, groupes, machines avez-vous autorisé "l'enrollement" ? c'est à dire l'autorisation de demander un certificat "en ligne".

Sinon, on peut toujours réaliser la demande de certificat, la traiter sur le serveur de CA, puis exporter le certificat résultant de cette demande avec la console d'autorité.

A+
Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info

lundi 12 septembre 2011 11:33

Modérateur
0

Connectez-vous pour voter
Bonjour,

Pour l'instant pas de stratégies d'enrollement automatique, Pour les test j'ai autorisé l'enrollement pour "tout le monde" sur les modèles IPSEC (Hors Connexion) et IPSEC

J'arrive à obtenir un certifcat via l'interface web, c'est le module NDES que je n'arrive pas à faire fonctionner.

cordialement

Jean-Luc

JLO
Finalement le problème venait d'une autre application (jakarta qui renvoyait certaines demandes vers un serveur java)

J'ai déplacé l'autre application sur un site différent et tout s'est mis à fonctionner.
- Modifié Jean-Luc974 jeudi 1 mars 2012 13:17 Solution trouvée
- Marqué comme réponse Jean-Luc974 jeudi 1 mars 2012 13:17
lundi 12 septembre 2011 13:19