locked
NDES avec Router Cisco Error 500 on IIS RRS feed

  • Question

  • Hello,
    I am using a certificate authority on Windows 2008 R2 enterprise. I have try without success to use SCEP (NDES) to enroll some cisco router
    The router authenticate the Authority, but when I try to enroll I got an error 500 From IIS in the log
    GET /certsrv/mscep/mscep.dll/pkiclient.exe operation=PKIOperation&message=MII... (long message = certificate request)
    When I copy the certificate request, correcting the % character and paste into the web GUI, I get an error 0x8009200e
    (In french le message signé n'a pas de signataire pour l'index des signataires spécifiés)
    crypto pki trustpoint O2-CA
     enrollment mode ra
     enrollment url http://serverFQDN:80/certsrv/mscep/mscep.dll
     usage ike
     serial-number none
     fqdn NAMEofROUTER
     ip-address none
     subject-name C=FR, ST=Place O=o2, CN=FQDNof ROUTER ,E=Email
     revocation-check none
     rsakeypair NameOfKeyPair
    crypto ca authenticate O2-CA                    Working
    crypto ca enroll O2-CA              Failed

    No Error message in the event log or in the CAPI2 Event log
    I already installed the hotfix to make the GetCACaps return something
    I check that my user have access to the private key of the NDES certificate, and he is member of the IIS_IUSR Group
    I already change the config of IIS to be able to accept url of 4096 characters
    I can get a certificate for my router viw the Web UI,
    only NDES is not working,
    I don't know what to do next, if someone could help me
    thanks in advance

    JLO
    mardi 6 septembre 2011 11:32

Réponses

  • Bonjour,

    Pour l'instant pas de stratégies d'enrollement automatique, Pour les test j'ai autorisé l'enrollement pour "tout le monde" sur les modèles IPSEC (Hors Connexion) et IPSEC

    J'arrive à obtenir un certifcat via l'interface web, c'est le module NDES que je n'arrive pas à faire fonctionner.

    cordialement

    Jean-Luc


    JLO
    Finalement le problème venait d'une autre application (jakarta qui renvoyait certaines demandes vers un serveur java)

    J'ai déplacé l'autre application sur un site différent et tout s'est mis à fonctionner.

    • Modifié Jean-Luc974 jeudi 1 mars 2012 13:17 Solution trouvée
    • Marqué comme réponse Jean-Luc974 jeudi 1 mars 2012 13:17
    lundi 12 septembre 2011 13:19

Toutes les réponses

  • Bonjour,

    vous pouvez utiliser le français sur ce forum!!! C'est même fortement conseillé voire correspondant aux règles d'utilisation!

    Quelles sont les stratégies mises en place sur dans l'autorité? pour quels utilisateurs, groupes, machines avez-vous autorisé "l'enrollement" ? c'est à dire l'autorisation de demander un certificat "en ligne".

    Sinon, on peut toujours réaliser la demande de certificat, la traiter sur le serveur de CA, puis exporter le certificat résultant de cette demande avec la console d'autorité.

    A+


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info
    lundi 12 septembre 2011 11:33
    Modérateur
  • Bonjour,

    Pour l'instant pas de stratégies d'enrollement automatique, Pour les test j'ai autorisé l'enrollement pour "tout le monde" sur les modèles IPSEC (Hors Connexion) et IPSEC

    J'arrive à obtenir un certifcat via l'interface web, c'est le module NDES que je n'arrive pas à faire fonctionner.

    cordialement

    Jean-Luc


    JLO
    Finalement le problème venait d'une autre application (jakarta qui renvoyait certaines demandes vers un serveur java)

    J'ai déplacé l'autre application sur un site différent et tout s'est mis à fonctionner.

    • Modifié Jean-Luc974 jeudi 1 mars 2012 13:17 Solution trouvée
    • Marqué comme réponse Jean-Luc974 jeudi 1 mars 2012 13:17
    lundi 12 septembre 2011 13:19