Un certificat dans la chaîne pour le certificat d'autorité de certification a été révoqué.
La validation de chaîne ou de chemin est le processus grâce auquel des certificats d'entité de fin (utilisateur ou ordinateur) et tous les certificats de l'autorité de certification sont traités de manière hiérarchique jusqu'à ce que la chaîne de certificat se termine sous la forme d'un certificat approuvé Il s'agit généralement d'un certificat d'autorité de certification racine. Le démarrage des services de certificats Active Directory (AD CS) peut échouer s'il y a des problèmes de disponibilité, de validité et de validation de chaîne pour le certificat d'autorité de certification.
Émettre à nouveau des certificats dans la chaîne pour un certificat d'autorité de certification révoqué
Bien qu'il ne soit pas courant qu'un certificat d'autorité de certification soit révoqué. Pour remédier à cette situation :
Confirmez que le certificat d'autorité de certification a été révoqué.
Demandez à un administrateur d'autorité de certification si la révocation a eu lieu intentionnellement ou par inadvertance. Si le certificat a été révoqué intentionnellement, aucune action supplémentaire n'est requise.
S'il a été révoqué par inadvertance, le certificat d'autorité de certification doit, comme tous les certificats de la branche, être à nouveau émis par le biais de l'inscription ou de l'inscription automatique.
Si le problème persiste, activez les diagnostics CryptoAPI 2.0 pour identifier et corriger des erreurs supplémentaires pouvant être à l'origine du problème.
Pour effectuer ces procédures, vous devez avoir une autorisation de Gérer l'autorité de certification ou l’autorité appropriée doit vous avoir été déléguée.
Confirmer que le certificat d'autorité de certification a été révoqué
Pour confirmer que le certificat d'autorité de certification a été révoqué :
Ouvrez une fenêtre d’invite de commandes.
Tapez certutil -urlfetch -verify<CAcert.cer> puis appuyez sur ENTRÉE.
Remplacez CAcert.cer par le nom du fichier de certificat d'autorité de certification.
Pour inscrire un certificat d'autorité de certification
Pour inscrire un certificat d'autorité de certification :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Autorité de certification.
Cliquez avec le bouton droit sur le nom de l'autorité de certification, sélectionnez Toutes les tâches et cliquez sur Demander un certificat d'autorité de certification.
Sélectionnez le fichier requis et le nom de l'autorité de certification ou l'ordinateur hébergeant une autorité de certification parente pour traiter la demande et terminer l'inscription.
Après l'installation du certificat d'autorité de certification, vous devrez émettre à nouveau tous les certificats émis à l'aide du certificat d'autorité de certification révoqué.
Activer des diagnostics CryptoAPI 2.0
Pour activer des diagnostics CryptoAPI 2.0 :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, pointez sur Outils d'administration, puis sur Observateur d'événements.
Dans l'arborescence, développez l'observateur d'événements, les journaux des applications et des services, Microsoft, Windows et CAPI2.
Cliquez avec le bouton droit Opérationnel et cliquez sur Activer le journal.
Cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Services.
Cliquez avec le bouton droit sur Services de certificats Active Directory et cliquez sur Redémarrer.
Analysez le journal des diagnostics CAPI2 pour obtenir des informations concernant cette erreur.
Pour confirmer que le certificat et la chaîne de l'autorité de certification sont valides :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, entrez mmc, puis appuyez sur ENTRÉE.
Si la boîte de dialogue Contrôle de compte d’utilisateur s’ouvre, vérifiez que l’action affichée correspond à ce que vous voulez, puis cliquez sur Continuer.
Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable, sur Certificats, puis sur Ajouter.
Cliquez sur Compte d'ordinateur, puis sur Suivant.
Cliquez sur Terminer, puis sur OK.
Dans l'arborescence de la console, cliquez sur Certificats (Ordinateur local), puis sur Personnel.
Confirmer qu'un certificat d'autorité de certification n'ayant pas expiré existe dans ce magasin.
Cliquez avec le bouton droit sur ce certificat et sélectionnez Exporter pour lancer l'Assistant exportation de certificat.
Exporter le certificat vers un fichier nommé Cert.cer.
Saisissez Démarrer, cmd et appuyez sur ENTRÉE.
Tapez certutil -urlfetch -verify <cert.cer>, puis appuyez sur ENTRÉE.
Si aucune erreur de validation, de génération de chaîne ou de vérification de révocation n'est signalée, la chaîne est valide.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 51 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.51" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">51</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDec09b85c4b5c4b5c9753da70c2ab3dc7"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>