Les services de certificats Active Directory n'ont pas pu supprimer un certificat de demande d'un emplacement spécifié.
Une des fonctions primaires d'une autorité de certification est d'évaluer des demandes de certification de clients et, si les critères prédéfinis sont remplis, d'établir des certificats à ces clients. Pour réussir l'inscription des certificats, plusieurs éléments doivent être en place avant la transmission de la demande, notamment une autorité de certification avec un certificat d'autorité de certification valide ; des modèles de certificats, des comptes clients et des demandes de certifications correctement configurés ; et une manière pour le client de transmettre la demande à l'autorité de certification, de voir la demande validée et d'installer le certificat émis.
Effacer manuellement le certificat
Confirmez que vous avez un accès réseau à l'emplacement où le certificat est stocké.
Essayez de supprimer le certificat mentionné dans le message du journal des événements en exécutant une des procédures suivantes.
Si vous confirmez que vous avez une connectivité réseau et ne pouvez toujours pas supprimer le certificat, confirmez les autorisations sur les conteneurs Utilisateurs du domaine et Ordinateurs du domaine dans les services de domaine Active Directory (AD DS) avant d'essayer à nouveau de supprimer le certificat.
Pour effectuer ces procédures, vous devez avoir une autorisation de Gérer l'autorité de certification ou l’autorité appropriée doit vous avoir été déléguée.
Supprimer un certificat
Pour supprimer un certificat en utilisant le composant logiciel enfichable Certificats :
Confirmez que le certificat que vous voulez supprimer existe à l'emplacement identifié dans le message du journal des événements.
Si vous ne pouvez pas accéder à cet emplacement en raison d'un problème de connexion, remédiez à ce problème et réessayez.
Cliquez sur Démarrer, entrez mmc puis appuyez sur ENTRÉE.
Si la boîte de dialogue Contrôle de compte d’utilisateur s’ouvre, vérifiez que l’action affichée correspond à ce que vous voulez, puis cliquez sur Continuer.
Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable, cliquez sur Certificats, puis sur Ajouter.
Sélectionnez l'utilisateur, le service ou le compte d'ordinateur et cliquez sur Suivant.
Si vous voulez supprimer un certificat pour un ordinateur ou un service, identifiez l'ordinateur ou le service. Cliquez sur Terminer, puis sur OK.
Sélectionnez le magasin de certificats où le certificat que vous avez l'intention de supprimer existe.
Cliquez avec le bouton droit sur le certificat à supprimer, puis cliquez sur Supprimer.
Lorsqu'on vous demande si vous voulez supprimer ce certificat, cliquez sur Oui.
Vous pouvez également supprimer un certificat non valide avec l'outil en ligne de commande Certutil.
Pour supprimer un certificat avec Certutil :
Ouvrez une fenêtre d’invite de commande.
Tapez certutil -viewdelstore <emplacement réseau spécifié dans le message du journal des événements> puis appuyez sur ENTRÉE.
Sélectionnez le certificat à supprimer et cliquez sur OK.
S'il vous est toujours impossible de supprimer le certificat, suivez la procédure dans la section « Confirmer des autorisations sur les conteneurs d'ordinateurs de domaine et d'utilisateurs de domaine dans les services de domaine Active Directory »" pour confirmer que l'ordinateur hébergeant l'autorité de certification a des autorisations en lecture et en écriture pour l'emplacement spécifié dans le message d'erreur.
Confirmer les autorisations pour les conteneurs d'ordinateurs du domaine et d'utilisateurs du domaine dans les services de domaine Active Directory
Pour confirmer que l'autorité de certification dispose des autorisations nécessaires sur les conteneurs d'ordinateurs de domaine et d'utilisateurs de domaine :
sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Sites et services Active Directory.
Dans le menu Affichage, cliquez sur Afficher le nœud des services.
Double-cliquez sur Services, double-cliquez sur Public Key Services, cliquez avec le bouton droit sur Ordinateurs de domaine, puis sur Propriétés.
Sous l'onglet Sécurité, confirmez que le groupe Éditeurs de certificats a des autorisations de lecture et d'écriture.
Cliquez avec le bouton droit sur Utilisateurs de domaine et cliquez sur Propriétés.
Sous l'onglet Sécurité, confirmez que le groupe Éditeurs de certificats a des autorisations de lecture et d'écriture.
Pour confirmer que le traitement de la demande de certificat fonctionne correctement :
Cliquez sur Démarrer, entrez certmgr.msc puis appuyez sur ENTRÉE.
Si la boîte de dialogue Contrôle de compte d’utilisateur s’ouvre, vérifiez que l’action affichée correspond à ce que vous voulez, puis cliquez sur Continuer.
Dans l'arborescence de la console, double-cliquez sur Personnel, puis cliquez sur Certificats.
Dans le menu Action, pointez sur Toutes les tâches et cliquez sur Demander de nouveaux certificats pour démarrer l'Assistant d'inscription de certificats.
Utiliser l'Assistant pour créer et transmettre une demande de certificat pour n'importe quel type de certificat disponible.
Sous Résultats de l’installation des certificats, confirmez que l'inscription s'exécute correctement et qu'aucune erreur n'est signalée. Vous pouvez également cliquer sur Détails pour afficher des informations supplémentaires sur le certificat.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 108 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.108" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">108</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
</WriteActions>
</Rule>