Une demande de certificat a été refusée.
Une des fonctions primaires d'une autorité de certification est d'évaluer des demandes de certification de clients et, si les critères prédéfinis sont remplis, d'établir des certificats à ces clients. Pour réussir l'inscription des certificats, plusieurs éléments doivent être en place avant la transmission de la demande, notamment une autorité de certification avec un certificat d'autorité de certification valide ; des modèles de certificats, des comptes clients et des demandes de certifications correctement configurés ; et une manière pour le client de transmettre la demande à l'autorité de certification, de voir la demande validée et d'installer le certificat émis.
Supprimer les conditions qui empêchent une demande de certificat d'être approuvée
Les problèmes de génération de chaînes sont souvent à l'origine de l'échec de demandes de certificats. Utilisez la procédure suivante pour valider la chaîne de certificats pour l'autorité de certification et résoudre des problèmes identifiés :
Confirmez les informations sur le compte dans les services de domaine Active Directory (AD DS).
Confirmez les informations sur les modèles de certificats.
Confirmer la chaîne de certificats pour l'autorité de certification.
Vérifiez les listes de révocation de certificats les plus récentes.
Publiez une nouvelle liste de révocation de certificats.
Si ceci ne résout pas le problème, vérifiez et résolvez les problèmes suivants :
La file d'attente des demandes ayant échoué pour l'autorité de certification
La connectivité AD DS
Les signatures requises pour effectuer la demande de certificat ne sont peut-être pas disponibles. Si cela est le cas :
Activez des utilisateurs supplémentaires ayant des certificats d'autorité d'inscription pour signer des demandes de certificats.
Modifiez le modèle de certificat pour que moins de signatures d'autorités d'inscription soient nécessaires.
Envoyez à nouveau la demande de certificat.
Confirmer les informations sur le compte d'utilisateur dans AD DS
Pour exécuter cette procédure, vous devez être membre du groupe Admins de domaine ou l'autorité appropriée doit vous avoir été déléguée.
Pour confirmer les informations sur le compte d'utilisateur :
Sur le contrôleur de domaine, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Utilisateurs et ordinateurs Active Directory.
Dans l'arborescence de la console, sélectionnez le domaine et le groupe d'utilisateurs dans lequel le compte de l'utilisateur devrait se trouver.
Si le compte d'utilisateur existe, cliquez avec le bouton droit sur le compte, puis sur Propriétés, et confirmez que l'utilisateur a un nom de système DNS correctement configuré.
Confirmer les informations sur les modèles de certificats
Pour effectuer cette procédure, vous devez avoir une autorisation de Gérer l'autorité de certification ou l’autorité appropriée doit vous avoir été déléguée.
Pour confirmer les informations sur les modèles de certificats :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, entrez certtmpl.msc, puis appuyez sur ENTRÉE.
Cliquez avec le bouton droit sur le modèle de certificat dont vous êtes en train de résoudre le problème et confirmez que l'utilisateur ou le groupe ont des autorisations pour s'inscrire pour un certificat basé sur ce modèle.
Confirmer la chaîne de certificats pour l'autorité de certification
Pour valider la chaîne pour l'autorité de certification :
Cliquez sur Démarrer, entrez mmc puis appuyez sur ENTRÉE.
Si la boîte de dialogue Contrôle de compte d’utilisateur s’ouvre, vérifiez que l’action affichée correspond à ce que vous voulez, puis cliquez sur Continuer.
Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable, cliquez sur Certificats, puis sur Ajouter.
Cliquez sur Compte d'ordinateur, puis sur Suivant.
Sélectionnez l'ordinateur hébergeant l'autorité de certification, cliquez sur Terminer, puis sur OK.
Sélectionnez chaque certificat de l'autorité de certification dans la chaîne des certificats et cliquez sur Afficher le certificat.
Cliquez sur l'onglet Détails puis sur Copier dans un fichier pour démarrer l'Assistant exportation de certificat. Enregistrez chaque certificat avec une extension .cer.
Ouvrez l’invite de commandes, puis exécutez la commande suivante pour chaque certificat d’autorité de certification : certutil -urlfetch -verify <CAcert.cer>, puis appuyez sur ENTRÉE. Remplacez <CAcert.cer> par le nom d’un fichier de certificat d’autorité de certification que vous avez enregistré à l’étape 7.
Utilisez la même commande avec un fichier de certificats pour un certificat d'entité de fin (utilisateur ou ordinateur) émis par l'autorité de certification pour confirmer des listes de révocation de certifications pour l'autorité de certification comme pour sa chaîne.
Résoudre les problèmes identifiés dans la sortie de ligne de commande.
Générer et publier de nouvelles listes de révocation de certificats
Si la sortie de ligne de commande indique qu'une liste de révocation de certificats pour une autorité de certification de la chaîne a expiré, générez de nouvelles listes de révocation de base et delta sur cette autorité de certification et copiez-les aux emplacements requis. Pour cela, vous devrez peut-être redémarrer une autorité de certification hors connexion.
Dans l'autorité de certification, vérifiez la liste de révocation de certificats actuellement publiée. Par défaut, l’autorité de certification crée des listes de révocation de certificats dans le dossier %windir%\System32\CertSrv\CertEnroll. Si les listes de révocation de certificats se trouvant actuellement à cet emplacement ont expiré ou ne sont pas valides, vous pouvez utiliser la procédure suivante pour publier une nouvelle liste de révocation de certificats.
Pour publier une nouvelle liste de révocation de certificats à l'aide du composant logiciel enfichable de l'autorité de certification :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Autorité de certification.
Sélectionnez l'autorité de certification et développez les dossiers en dessous du nom de l'autorité de certification.
Cliquez avec le bouton droit sur le dossier Certificats révoqués.
Cliquez sur Toutes les tâches puis sur Publier.
Vous pouvez également générer et publier des listes de révocation de certificats depuis une invite de commande.
Pour publier une liste de révocation de certificats avec l'outil en ligne de commande Certutil :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, entrez cmd, puis appuyez sur ENTRÉE.
Entrez certutil -CRL et appuyez sur ENTRÉE.
Si une liste de révocation de certificats est identifiée comme non disponible mais qu'une liste de révocation de certificats valide existe dans le répertoire local, confirmez que l'autorité de certification peut se connecter au point de distribution de la liste de révocation de certificats puis suivez les étapes précédentes pour générer et publier à nouveau des listes de révocation de certificats.
Des listes de révocation de certificats peuvent être publiées manuellement dans les services de domaine Active Directory avec la commande suivante :
certutil -dspublish"<crlname.crl>" ldap:///CN=<nom de l’autorité de certification>,CN=<nom de l’hôte de l’autorité de certification>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint
Remplacez NomListeRévocationCertificats.crl par le nom de votre fichier de listes de révocation de certification, <nom de l’autorité de certification> et <nom de l’hôte de l’autorité de certification> par votre nom d’autorité de certification et le nom de l’hôte sur lequel est exécutée l’autorité de certification, puis remplacez <contoso> et <com> par l’espace de noms de votre domaine Active Directory.
Confirmer les points de distribution configurés de la liste de révocation de certificats
Vérifier tous les points de distribution configurés de la liste de révocation de certificats pour confirmer que la publication a réussi et que de nouvelles listes de révocation de certificats sont disponibles sur le réseau.
Pour effectuer cette procédure, vous devez avoir une autorisation de Gérer l'autorité de certification ou l’autorité appropriée doit vous avoir été déléguée.
Pour vérifier les points de distribution configurés de la liste de révocation de certificats à l'aide du composant logiciel enfichable de l'autorité de certification :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Autorité de certification.
Cliquez avec le bouton droit sur le nom de l'autorité de certification, puis sur Propriétés.
Cliquez sur l'onglet Extensions.
Vérifiez les points de distribution de la liste de révocation de certificats configurée et confirmez que les noms sont valides.
Pour vérifier les URL des points de distribution configurés de la liste de révocation de certificats avec Certutil :
Ouvrez une fenêtre d'invite de commandes sur l'autorité de certification.
Tapez certutil -getreg ca\crlpublicationurls, puis appuyez sur ENTRÉE.
Vérifiez les points de distribution de la liste de révocation de certificats configurée et confirmez que les noms sont valides.
Vérifier la file d'attente des demandes ayant échoué sur l'autorité de certification
Pour effectuer cette procédure, vous devez avoir une autorisation de Gérer l'autorité de certification ou l’autorité appropriée doit vous avoir été déléguée.
Pour vérifier la file d'attente des demandes ayant échoué sur l'autorité de certification à l'aide du composant logiciel enfichable de l'autorité de certification :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Autorité de certification.
Cliquez sur Demandes ayant échoué
Cherchez les demandes ayant échoué envoyées au moment de l'événement ou à un moment proche et vérifiez les colonnes comme Message de disposition de la demande, Code du suivi de la requête et Nom du demandeur pour obtenir des informations supplémentaires sur le diagnostic.
Pour vérifier les demandes ayant échoué avec Certutil :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, entrez cmd, puis appuyez sur ENTRÉE.
Entrez certutil -view LogFail et appuyez sur ENTRÉE.
Tapez certutil -view -restrict requestID="<nnn>" puis appuyez sur ENTRÉE. Remplacez <nnn> par l'ID de demande de l'une des demandes ayant échoué dans la sortie de la commande LogFail.
Confirmez la connectivité AD DS
Pour confirmer une connexion des services de certificats Active Directory (AD CS) à AD DS :
Sur l’autorité de certification, ouvrez une fenêtre d'invite de commandes.
Tapez ping <FQDN_serveur>, où FQDN_serveur correspond au nom de domaine complet (FQDN) du contrôleur de domaine (par exemple, server1.contoso.com). Appuyez sur ENTRÉE.
Si la commande Ping s'exécute correctement, vous recevrez une réponse semblable à la suivante :
Réponse d'IP_address: octets = 32 temps = 3 ms TTL = 59
Réponse d'IP_address: octets = 32 temps = 20 ms TTL = 59
Réponse d'IP_address: octets = 32 temps = 3 ms TTL = 59
Réponse d'IP_address: octets = 32 temps = 6 ms TTL=59,3
À l’invite de commandes, tapez ping <adresse_IP>, où adresse_IP correspond à l’adresse IP du contrôleur de domaine. Appuyez sur ENTRÉE.
Si vous parvenez à vous connecter au contrôleur de domaine par adresse IP, mais pas par nom de domaine complet (FQDN), il s'agit peut-être d'un problème de résolution du nom d'hôte du DNS. Si vous ne parvenez pas à vous connecter au contrôleur de domaine par adresse IP, il s'agit probablement d'un problème de connectivité réseau, de configuration du pare-feu ou de configuration de la sécurité du protocole Internet (IPsec).
Émettre des certificats d'autorité d'inscription supplémentaires
Pour effectuer cette procédure, vous devez être membre du groupe Administrateurs local sur l'ordinateur hébergeant l'autorité de certification, ou l'autorité appropriée doit vous avoir été déléguée.
Pour émettre des certificats d'autorité d'inscription supplémentaires :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, entrez certtmpl.msc, puis appuyez sur ENTRÉE.
Dans le volet Détails, cliquez avec le bouton droit sur le modèle de certificat de l'autorité d'inscription, puis sur Propriétés.
Sous l'onglet Sécurité, ajoutez les noms des utilisateurs ou des groupes pour lesquels vous voulez émettre des certificats d'autorité d'inscription.
Dans Noms d'utilisateurs ou de groupes, cliquez sur un des nouveaux objets, puis sur Autorisations pour Nom d'objet, dans la colonne Autoriser, sélectionnez les cases à cocher Lire et Inscrire.
Répétez l’étape précédente pour chaque nouvel objet et cliquez sur OK.
Cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Autorité de certification.
Double-cliquez sur le nom de l'autorité de certification.
Cliquez avec le bouton droit sur Modèles de certificats, puis sur Nouveau et sur Modèle de certificat à délivrer.
Sélectionnez le modèle de certificat et cliquez sur OK
Modifier les conditions de signature des modèles de certificats
Pour effectuer cette procédure, vous devez avoir une autorisation de Gérer l'autorité de certification ou l’autorité appropriée doit vous avoir été déléguée.
Pour modifier les conditions de signature des modèles de certificats :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, entrez certtmpl.msc, puis appuyez sur ENTRÉE.
Dans le volet Détails, cliquez avec le bouton droit sur le modèle de certificat que vous souhaitez modifier, puis cliquez sur Propriétés.
Cliquez sur l’onglet Conditions d’émission.
Sous Ce nombre de signatures autorisées, entrez le nombres de signatures d'autorité d'inscription que vous voulez utiliser.
Répétez l’étape précédente pour chaque nouvel objet et cliquez sur OK.
Cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Autorité de certification.
Double-cliquez sur le nom de l'autorité de certification.
Cliquez avec le bouton droit sur Modèles de certificats, puis sur Nouveau et sur Modèle de certificat à délivrer.
Sélectionnez le modèle de certificat et cliquez sur OK
Pour confirmer que le traitement de la demande de certificat fonctionne correctement :
Cliquez sur Démarrer, entrez certmgr.msc puis appuyez sur ENTRÉE.
Si la boîte de dialogue Contrôle de compte d’utilisateur s’ouvre, vérifiez que l’action affichée correspond à ce que vous voulez, puis cliquez sur Continuer.
Dans l'arborescence de la console, double-cliquez sur Personnel, puis cliquez sur Certificats.
Dans le menu Action, pointez sur Toutes les tâches et cliquez sur Demander de nouveaux certificats pour démarrer l'Assistant d'inscription de certificats.
Utiliser l'Assistant pour créer et transmettre une demande de certificat pour n'importe quel type de certificat disponible.
Sous Résultats de l’installation des certificats, confirmez que l'inscription s'exécute correctement et qu'aucune erreur n'est signalée. Vous pouvez également cliquer sur Détails pour afficher des informations supplémentaires sur le certificat.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 56 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.56" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">56</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
</WriteActions>
</Rule>