# Dépannage
## Problèmes de connexion
### Vue client
#### XML incorrect
{% hint style="warning" %}
Impossible de se connecter car vous avez besoin d’un certificat pour vous connecter. Contactez votre support informatique.
{% endhint %}
Vérifiez que votre client dispose d’un certificat pour s’authentifier et que vous utilisez le bon [profil de configuration Wi-Fi](/fr/deploiement-du-profil/microsoft-intune/wifi-profile.md) ou [XML](/fr/portail-dadministration/settings/trusted-roots.md#xml).
#### Problèmes de racine de confiance
{% hint style="warning" %}
Impossible de se connecter à ce réseau.
{% endhint %}
Vérifiez que vous avez effectué les actions suivantes :
* Indiqué à votre serveur RADIUS quels certificats sont autorisés à se connecter comme décrit [ici](/fr/portail-dadministration/settings/trusted-roots.md#add)
* Importé le certificat actif du serveur RADIUS comme racine de confiance sur votre client comme décrit [ici](/fr/deploiement-du-profil/microsoft-intune/trusted-root.md#to-add-a-trusted-root-profile-for-your-clients)
* Vérifiez vos [journaux](/fr/portail-dadministration/insights/log.md#logs). Il existe une description détaillée de l’erreur. Il se peut que ce soit un [ceci](/fr/autre/troubleshooting.md#fatal-decrypt-error) problème.
#### Continuer la connexion ?
{% hint style="warning" %}
Continuer la connexion ? \
Si vous vous attendez à trouver Corporate WiFi à cet endroit, continuez et connectez-vous. Sinon, il peut s’agir d’un autre réseau portant le même nom.
Afficher les détails du certificat.
{% endhint %}
Si vos clients doivent vérifier lors de la première connexion et que cette boîte de dialogue s’affiche :
Assurez-vous d’avoir référencé le certificat du serveur RADIUS dans votre profil Wi-Fi et fourni l’attribut SAN (FQDN) et le nom commun (CN) du certificat du serveur :
Affichage de l’attribut SAN (FQDN) et du nom commun (CN) du certificat du serveur
### Vue serveur
#### AC inconnue
Si vos [journaux](/fr/portail-dadministration/insights/log.md#logs) contiennent des messages d’erreur similaires à ceux affichés ci-dessous
```
ERREUR : (14872) eap_tls : ERREUR : SSL indique l’erreur 20 : impossible d’obtenir le certificat de l’émetteur local
ERREUR : (14872) eap_tls : ERREUR : TLS Alert write:fatal:unknown CA
Erreur : tls : TLS_accept : Erreur dans l’erreur
Auth : (14872) connexion incorrecte (eap_tls : SSL indique l’erreur 20 : impossible d’obtenir le certificat de l’émetteur local) : [host/8dc38402-20fb-41db-a8f3-4e4e95637173/] (depuis le client contoso port 1 cli 18-9K-EA-0H-7F-C5)
```
cela peut avoir les causes racines suivantes :
* Le client renvoie une erreur `TLS Alert read:fatal:unknown CA`
* Votre client ne connaît pas le **certificat du serveur** et rejette la connexion. Vérifiez que vous avez ajouté votre **certificat du serveur** comme décrit [ici](/fr/deploiement-du-profil/microsoft-intune/trusted-root.md#adding-a-trusted-root-profile-for-your-clients).
* vous avez modifié/ajouté un nouveau **certificat du serveur** et que votre profil XML sur le client utilise l’ancien. Dans ce cas, veuillez vérifier à nouveau que vous avez soit mis à jour votre profil Wi-Fi/filaire, soit régénéré votre [XML](/fr/portail-dadministration/settings/trusted-roots.md#xml) après avoir ajouté les certificats, puis déployé celui-ci vers vos clients.
* Le serveur renvoie une erreur `TLS Alert write:fatal:unknown CA`
* Votre serveur RADIUS ne connaît pas l’émetteur du certificat utilisé pour l’authentification. Ajoutez votre AC comme décrit [ici](/fr/portail-dadministration/settings/trusted-roots.md#add).
#### Certificat inconnu
Si vous utilisez macOS (et éventuellement d’autres plateformes Apple) et si vos [journaux](/fr/portail-dadministration/insights/log.md#logs) contiennent des messages d’erreur similaires à celui affiché ci-dessous
```
eap_tls : (TLS) TLS - Alert read:fatal:certificate unknown
```
cela peut avoir les causes racines suivantes :
* Il y a un caractère espace quelque part dans le **nom du serveur du certificat** dans votre [WiFi](/fr/deploiement-du-profil/microsoft-intune/wifi-profile/apple-devices.md) ou [Pour le profil XML filaire, cliquez](/fr/deploiement-du-profil/microsoft-intune/wired-profile/mac.md) profil de configuration.
#### Erreur de décryptage | Accès refusé
Si vos [journaux](/fr/portail-dadministration/insights/log.md#logs) contiennent des messages d’erreur similaires à ceux affichés ci-dessous
```
Auth : (312) connexion incorrecte (eap_tls : TLS Alert write:fatal:decrypt error) : [host/00128t09-cbna-469c-9768-2783d28eikl9/] (depuis le client contoso port 1 cli 84-FD-D1-8C-0E-33)
ERREUR : (320) eap_tls : ERREUR : TLS Alert write:fatal:decrypt error
Erreur : tls : TLS_accept : Erreur dans l’erreur
```
... alors il s’agit probablement d’un bug du logiciel TPM sur vos machines Windows. Vous trouverez plus d’informations à ce sujet dans la [documentation SCEPman](https://docs.scepman.com/certificate-deployment/microsoft-intune/windows-10#key-storage-provider-ksp-enroll-to-trusted-platform-module-tpm-ksp-otherwise-fail).
Si vous voyez quelque chose comme ceci dans vos [journaux](/fr/portail-dadministration/insights/log.md#logs)
```
ERREUR : (95878) eap_tls : ERREUR : (TLS) Alert read:fatal:access denied
Auth : (95878) connexion incorrecte (eap_tls : (TLS) Alert read:fatal:access denied) : [host/kad933-161d-4aa8-aeaa-b5a4d3d53b12]
ERREUR : (95717) eap_tls : ERREUR : (TLS) Alert read:fatal:access denied
```
... il peut y avoir deux raisons. La première est que votre profil Wi-Fi référence le mauvais certificat racine pour la validation du serveur. Veuillez vous assurer que votre profil est correctement configuré. Si c’est le cas et que vous rencontrez toujours ce problème, essayez de définir votre KSP sur [**Software KSP**](https://docs.scepman.com/certificate-deployment/microsoft-intune/windows-10#key-storage-provider-ksp-enroll-to-trusted-platform-module-tpm-ksp-otherwise-fail).
{% hint style="warning" %}
Le paramètre Key Storage Provider (KSP) détermine l’emplacement de stockage de la clé privée des certificats de l’utilisateur final. Le stockage dans le TPM est plus sûr que le stockage logiciel, car le TPM fournit une couche de sécurité supplémentaire pour empêcher le vol de clés. Cependant, il existe **un bug dans certaines versions plus anciennes du microprogramme TPM** qui invalide certaines signatures créées avec une clé privée prise en charge par TPM. Dans de tels cas, le certificat ne peut pas être utilisé pour l’authentification EAP, comme c’est le cas pour les connexions Wi-Fi et VPN. Les versions de microprogramme TPM concernées comprennent :
* STMicroelectronics : 71.12, 73.4.17568.4452, 71.12.17568.4100
* Intel : 11.8.50.3399, 2.0.0.2060
* Infineon : 7.63.3353.0
* IFX : Version 3.19 / Spécification 1.2
Si vous utilisez TPM avec ce microprogramme, mettez à jour votre microprogramme vers une version plus récente ou sélectionnez « Software KSP » comme fournisseur de stockage de clés.
{% endhint %}
#### Impossible de continuer, car le pair se comporte mal
Si vos journaux contiennent des rejets avec l’erreur *« Impossible de continuer, car le pair se comporte mal »* cela indique que le client a cessé de communiquer avec le service RADIUS, principalement parce que les paramètres de confiance sont incorrects. Dans ce cas, veuillez vérifier les certificats sur les appareils concernés.
#### Secret RADIUS partagé incorrect
Si votre (proxy) [journaux](/fr/portail-dadministration/insights/log.md#logs) contiennent des messages d’erreur similaires à ceux affichés ci-dessous
```
- message authenticator, valeur incorrecte
- buf2radmsg : échec de l’authentification du message
- radsrv : requête ignorée de default (8.222.246.231), validation échouée
```
alors l’un de vos points d’accès ou commutateurs qui tente de se connecter à votre instance RADIUSaaS via un [proxy RADIUS](/fr/portail-dadministration/settings/settings-proxy.md) utilise un [Secret partagé](/fr/portail-dadministration/settings/settings-server.md#properties-1).
Pour identifier le point d’accès ou le commutateur concerné, commencez par déterminer le proxy RADIUS en développant le message d’erreur et en recherchant la propriété `proxyip` Maintenant que vous connaissez le proxy, utilisez votre inventaire et votre connaissance des emplacements ou groupes spécifiques d’appareils qui ne peuvent pas se connecter à votre réseau pour identifier l’équipement réseau mal configuré. Enfin, mettez à jour le secret partagé pour qu’il corresponde à la valeur configurée dans votre instance RADIUSaaS pour ce proxy.
## Problèmes de certificat
### La chaîne de certificats n’a pas pu être vérifiée
Lorsque vous souhaitez utiliser votre propre certificat de serveur, votre serveur RADIUS nécessite la chaîne complète de certificats afin de permettre aux autres participants (Proxy, clients RadSec, points de terminaison qui tentent de se connecter) de vérifier l’identité du serveur. \
Si ce message apparaît, copiez-collez soit le certificat de l’AC sous le certificat du serveur dans le champ de texte, soit créez un bundle de certificats PCKS8 incluant tous les certificats, de l’autorité racine jusqu’à la racine.
## Problèmes du portail d’administration
### Connexion
Afin de se connecter au portail web RADIUSaaS (« RADIUSaas Admin Portal »), les exigences suivantes doivent être remplies :
* Le UPN/adresse e-mail que vous avez fourni en tant qu’administrateur technique doit pouvoir être authentifié auprès de **un certain** Microsoft Entra ID (Azure AD) (il n’est pas nécessaire qu’il s’agisse d’une identité du locataire dont les utilisateurs utiliseront RADIUSaaS pour l’authentification réseau).
* Le UPN/adresse e-mail que vous avez fourni en tant qu’administrateur technique doit avoir été enregistré sur votre instance RADIUSaaS comme décrit [ici](/fr/portail-dadministration/settings/permissions.md). Dans le cas où il s’agit de l’administrateur initial, veuillez [nous contacter](https://www.radius-as-a-service.com/help/) si vous pensez que nous avons enregistré le mauvais utilisateur.
* L’objet utilisateur Microsoft Entra ID (Azure AD) derrière le UPN/l’adresse e-mail doit être habilité à accorder à l’application d’entreprise RADIUSaaS les autorisations suivantes (voir capture d’écran ci-dessous) :
* **Lire** le profil utilisateur de base
* **Conserver** l’accès aux données que vous lui avez autorisé à consulter (autoriser la demande de jeton d’actualisation)\
* Si votre utilisateur Microsoft Entra ID (Azure AD) n’a pas les droits pour accorder les autorisations requises, aucune **application d’entreprise** correspondante ne sera créée automatiquement dans votre Microsoft Entra ID (Azure AD). Pour contourner ce problème, demandez à votre service informatique d’accorder à votre utilisateur les autorisations nécessaires.
## Problèmes de configuration Intune
### Attribution du profil
La configuration Wi-Fi ne sera pas déployée si les profils Wi-Fi, SCEP et certificat approuvé sont attribués à des groupes différents. Ils peuvent apparaître comme « En attente » ou il n’y a aucun statut du tout. Veuillez utiliser le **même groupe ou « Tous les appareils » resp. « Tous les utilisateurs »** pour **tous les profils liés**.
Vous pouvez attribuer le profil de certificat racine SCEP à la fois à « Tous les utilisateurs » et à « Tous les appareils » si vous utilisez un certificat d’appareil (attribué à « Tous les appareils ») et un certificat utilisateur (attribué à « Tous les utilisateurs »).
### Certificat SCEP
#### Android
Android semble nécessiter un UPN dans le SAN (Subject Alternative Name) dans les versions récentes (même pour les certificats d’appareil). Veuillez ajouter cela dans votre profil SCEP (par ex. {{DeviceId}}@contoso.com) :
### Profil Wi-Fi
#### Android
Codes d’erreur courants : 0xc7d24fc5 ou -942518331
Les points clés sont :
* sélectionnez le **certificat de l’AC racine** pour **validation du serveur** (important : ne téléversez pas le certificat du serveur de RADIUSaaS)\
\&#xNAN;**- et -**
* définissez un **nom du serveur radius**
* Remarque : il semble y avoir une limite de caractères pour ce champ. Pour résoudre d’éventuels problèmes, vous pouvez simplement utiliser la partie domaine sans sous-domaine, par exemple « radius-as-a-service.com » (au lieu de « contoso.radius-as-a-service.com »).
* [Développeurs Android](https://developer.android.com/guide/topics/connectivity/wifi-enterprise) indiquent : « \[...] doivent configurer **à la fois un certificat de l’AC racine**, et soit une **correspondance de suffixe de domaine** soit une correspondance de sujet alternative ». Ainsi, le MDM peut utiliser « setAltSubjectMatch » ou « setDomainSuffixMatch » après avoir ajouté un certificat racine à la configuration Wi-Fi. Intune semble utiliser « setDomainSuffixMatch » car « radius-as-a-service.com » suffit.
* parfois **la confidentialité de l’identité** est nécessaire (par ex. sur les appareils Android kiosque / Android Enterprise dédiés)
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.radiusaas.com/fr/autre/troubleshooting.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.