Les services de certificats ne peuvent pas ajouter de certificat d'autorité de certification à Active Directory
Les services de certificats Active Directory (AD CS) nécessitent au moins un accès en lecture et, dans certaines instances, un accès en écriture à certains objets des services de domaine Active Directory (AD DS). L'échec de la tentative d'accès à ces objets Active Directory peut empêcher AD CS de démarrer.
Activez AD CS pour ajouter un certificat d'autorité de certification aux services de domaine Active Directory
Pour activer les services de certificats Active Directory (AD CS) afin d'ajouter le certificat d'autorité de certification identifié dans le message du journal des événements aux services de domaine Active Directory (AD DS) :
Confirmez que l'autorité de certification dispose des autorisations sur des conteneurs et objets AD DS essentiels.
Déterminez si le certification d'autorité de certification existe dans le conteneur AIA.
S'il n'existe pas, publiez manuellement le certificat d'autorité de certification sur le conteneur AIA.
Pour exécuter cette procédure, vous devez être membre du groupe Admins du domaine ou l'autorité appropriée doit vous avoir été déléguée.
Confirmer des autorisations sur des conteneurs et objets AD DS essentiels
Pour confirmer que l'autorité de certification a eu besoin d'autorisations sur des conteneurs AD DS et sur des objets se trouvant à l'intérieur de ces conteneurs :
Sur un contrôleur de domaine, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Sites et services Active Directory.
Cliquez sur Sites et services Active Directory [nom de domaine], [nom de domaine] étant le nom de votre domaine.
Dans le menu Affichage, cliquez sur Afficher le nœud des services.
Double-cliquez sur Services, double-cliquez sur Public Key Services et cliquez avec le bouton droit sur chaque conteneur répertorié ci-dessous sous sur les objets répertoriés à l'intérieur du conteneur, puis cliquez sur Propriétés.
Sous l'onglet Sécurité, confirmer les autorisations requises.
Les autorisations ci-dessous sont toutes des autorisations Active Directory requises par un ordinateur hébergeant une autorité de certification. Certaines de ces autorisations sont obtenues via l'adhésion au groupe Éditeurs de certificats
Conteneur des services d'inscription. L'ordinateur d'autorité de certification a un accès en lecture et en écriture à son propre objet.
Conteneur AIA. Le groupe Éditeurs de certificats a un accès avec contrôle total au conteneur AIA et l'ordinateur d'autorité de certification a un accès avec contrôle total à son propre objet à l'intérieur du conteneur AIA.
Conteneur CDP. Le groupe Éditeurs de certificats a un accès avec contrôle total à chaque conteneur d'autorité de certification sous le conteneur CDP, et l'ordinateur d'autorité de certification a un accès avec contrôle total à chaque objet de liste de révocation de certificats dans son propre conteneur.
Conteneur d'autorité de certification. Le groupe Éditeurs de certificats a un accès avec contrôle total aux objets se trouvant à l'intérieur du conteneur.
Conteneur de modèles de certificats. Les groupes Administrateurs de l’entreprise et Administrateurs de domaine (pas l'ordinateur d'autorité de certification) ont accès avec contrôle total ou accès en lecture et en écriture à ce conteneur et à la plupart des objets qu'il contient.
Conteneur KRA. L'ordinateur d'autorité de certification a un accès avec contrôle total à son propre objet.
Conteneur OID. Les groupes Administrateurs de l’entreprise et Administrateurs de domaine (pas l'ordinateur d'autorité de certification) ont un accès avec contrôle total ou un accès en lecture et en écriture à ce conteneur et aux objets qu'il contient.
Objet NTAuthCertificates. Les groupes Administrateurs de l’entreprise et Administrateurs de domaine (pas l'ordinateur d'autorité de certification) ont un accès avec contrôle total ou un accès en lecture et en écriture.
Ordinateurs du domaine et conteneurs d'utilisateurs du domaine. Le groupe Éditeurs de certificats a des autorisations de lecture et d'écriture sur la propriété userCertificate de chaque objet utilisateur et ordinateur dans la forêt où les AD CS sont déployés.
Pour effectuer ces procédures, vous devez avoir une autorisation de Gérer l'autorité de certification ou l’autorité appropriée doit vous avoir été déléguée.
Déterminer si le certificat d'autorité de certification existe dans le conteneur AIA
Pour afficher le contenu du conteneur AIA dans AD DS :
Sur un contrôleur de domaine, cliquez sur Démarrer, entrez cmd et appuyez sur ENTRÉE.
Entrez certutil -cainfo et appuyez sur ENTRÉE.
Dans la sortie de la commande, notez la propriété répertoriée après Nom court expurgé.
Entrez ensuite la commande suivante et appuyez sur ENTRÉE :
certutil -viewstore ldap:/// CN=<MyCA>,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?cACertificate?base?objectclass=certificationAuthority
Remplacez MyCA par la propriété Nom court expurgé de la commande précédente et remplacez contoso et com par le nom unique d'adresse de protocole LDAP de votre domaine racine Active Directory.
Si le certificat d'autorité de certification n'apparaît pas dans le conteneur AIA et que vous disposez des autorisations requises, utilisez la procédure suivante pour publier le certificat d'autorité de certification.
Publier manuellement un certificat d'autorité de certification
Pour publier manuellement un certificat d'autorité de certification sur AD DS :
Sur une autorité de certification, cliquez sur Démarrer, entrez cmd et appuyez sur ENTRÉE.
Pour un certificat d’autorité de certification racine, tapez la commande suivante, puis appuyez sur ENTRÉE : certutil [-f] -dspublish <CAcert.cer> RootCA
Pour un certificat d’autorité de certification secondaire, tapez la commande suivante, puis appuyez sur ENTRÉE : certutil [-f] -dspublish <CAcert.cer> SubCA
Remplacez <CAcert.cer> par le nom du fichier de certificat d’autorité de certification. L'indicateur « -f » crée de nouveau l'objet, même s'il a été supprimé.
Pour vérifier la connexion entre une autorité de certification et les services de domaine Active Directory (AD DS) :
Ouvrez une fenêtre d'invite de commandes sur l'ordinateur hébergeant l'autorité de certification.
Entrez nltest /sc_verify : [nom de domaine], puis appuyez sur ENTRÉE.
Utilisez la procédure suivante pour confirmer des autorisations sur des conteneurs AD DS et des objets essentiels.
Remplacez [nom de domaine] par le nom de l'espace de noms dans lequel l'autorité de certification est installée.
Confirmer des autorisations sur des conteneurs et objets AD DS essentiels
Pour exécuter cette procédure, vous devez être membre du groupe Admins du domaine ou l'autorité appropriée doit vous avoir été déléguée.
Pour confirmer que l'autorité de certification dispose des autorisations nécessaires sur des conteneurs AD DS et sur des objets se trouvant à l'intérieur de ces conteneurs :
Sur un contrôleur de domaine, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Sites et services Active Directory.
Cliquez sur Sites et services Active Directory [nom de domaine], [nom de domaine] étant le nom de votre domaine.
Dans le menu Affichage, cliquez sur Afficher le nœud des services.
Double-cliquez sur Services, double-cliquez sur Public Key Services et cliquez avec le bouton droit sur chaque conteneur répertorié ci-dessous sous sur les objets répertoriés à l'intérieur du conteneur, puis cliquez sur Propriétés.
Sous l'onglet Sécurité, confirmer les autorisations requises.
Les autorisations ci-dessous sont toutes des autorisations Active Directory requises par un ordinateur hébergeant une autorité de certification. Certaines de ces autorisations sont obtenues via l'adhésion au groupe Éditeurs de certificats
Conteneur des services d'inscription. L'ordinateur d'autorité de certification a un accès en lecture et en écriture à son propre objet.
Conteneur AIA. Le groupe Éditeurs de certificats a un accès avec contrôle total au conteneur AIA et l'ordinateur d'autorité de certification a un accès avec contrôle total à son propre objet à l'intérieur du conteneur AIA.
Conteneur CDP. Le groupe Éditeurs de certificats a un accès avec contrôle total à chaque conteneur d'autorité de certification sous le conteneur CDP, et l'ordinateur d'autorité de certification a un accès avec contrôle total à chaque objet de liste de révocation de certificats dans son propre conteneur.
Conteneur d'autorité de certification. Le groupe Éditeurs de certificats a un accès avec contrôle total aux objets se trouvant à l'intérieur du conteneur.
Conteneur de modèles de certificats. Les groupes Administrateurs de l’entreprise et Administrateurs de domaine (pas l'ordinateur d'autorité de certification) ont accès avec contrôle total ou accès en lecture et en écriture à ce conteneur et à la plupart des objets qu'il contient.
Conteneur KRA. L'ordinateur d'autorité de certification a un accès avec contrôle total à son propre objet.
Conteneur OID. Les groupes Administrateurs de l’entreprise et Administrateurs de domaine (pas l'ordinateur d'autorité de certification) ont un accès avec contrôle total ou un accès en lecture et en écriture à ce conteneur et aux objets qu'il contient.
Objet NTAuthCertificates. Les groupes Administrateurs de l’entreprise et Administrateurs de domaine (pas l'ordinateur d'autorité de certification) ont un accès avec contrôle total ou un accès en lecture et en écriture.
Ordinateurs du domaine et conteneurs d'utilisateurs du domaine. Le groupe Éditeurs de certificats a des autorisations de lecture et d'écriture sur la propriété userCertificate de chaque objet utilisateur et ordinateur dans la forêt où les AD CS sont déployés.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 106 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.106" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">106</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID4f12f8d124ed4ece99544c9a9730fa37"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>