Les services de certificats ont rencontré une erreur pendant le chargement de certificats de Key Recovery Agents.
Les services de certificats Active Directory (AD CS) nécessitent des certificats de Key Recovery Agents, des certificats d'échange (XCHG) et des clés pour prendre en charge l'archivage de clé. Le fonctionnement des certificats de Key Recovery Agents, des certificats XCHG et les fournisseur de services de chiffrement (CSP) nécessaire pour les créer sont critiques pour une infrastructure à clé publique.
Configurer le nombre correct de certificats de Key Recovery Agents
Assurez-vous que l'autorité de certification dispose du nombre correct de certificats de Key Recovery Agents valides. Le nombre de certificats de Key Recovery Agents nécessaire est défini sur l'onglet Agents de récupération dans le composant logiciel enfichable de l'autorité de certification.
Pour effectuer cette procédure, vous devez avoir une autorisation de Gérer l'autorité de certification ou l’autorité appropriée doit vous avoir été déléguée.
Pour identifier des problèmes spécifiques liés aux certificats de Key Recovery Agents :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Autorité de certification.
Cliquez avec le bouton droit sur le nom de l'autorité de certification et cliquez sur Propriétés
Cliquez sur l'onglet Agents de récupération.
Vérifiez la colonne du statut pour les certificats de Key Recovery Agents. Si un ou plusieurs certificats sont identifiés comme ayant Expiré ou comme Non valide, supprimez les certificats de Key Recovery Agents expirés ou non valides et inscrivez et affectez de nouveaux certificats.
Si vous ne trouvez pas de problèmes liés à un de ces certificats, exportez chaque certificat ver un fichier .cer, ouvrez une fenêtre d'invite de commandes et exécutez la commande suivante avec chaque fichier pour vérifier la validité et le statut de révocation : certutil -verify et appuyez sur ENTRÉE.
Comme alternative, si vous avez moins de certificats de Key Recovery Agents que le nombre spécifié, vous pouvez également aller sous l'onglet Agents de récupération et réduire le nombre de Key Recovery Agents nécessaires.
Pour plus d'informations, voir http://go.microsoft.com/fwlink/?LinkID=95698.
Pour confirmer que l'archivage et la récupération de clé fonctionnent correctement :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Autorité de certification.
Dans l'arborescence de la console, cliquez avec le bouton droit sur le nom de l'autorité de certification puis sur Propriétés.
Cliquez sur l'onglet Agents de récupération.
Confirmez que tous les certificats de Key Recovery Agents sont répertoriés comme Valides.
Dans le conteneur Modèles de certificats, confirmez qu'un certificat de cryptage a l'option Archive la clé privée de cryptage du sujet configurée sous l'onglet Traitement de la demande.
Ouvrez le composant logiciel enfichable Certificats pour un compte d'utilisateur ayant des autorisations d'inscription pour un certificat basé sur ce modèle de certificat.
Dans l'arborescence de la console, cliquez avec le bouton droit sur Personnel, pointez sur Toutes les tâches et cliquez sur Demander un nouveau certificat pour faire démarrer l'Assistant d'inscription de certificats.
Inscrire un certificat basé sur le modèle de cryptage et confirmer que l'inscription s'effectue avec succès et qu'aucune erreur n'est signalée.
Lorsque l'inscription est terminée, ouvrez le composant logiciel enfichable de l'autorité de certification.
Dans l’arborescence de la console, cliquez sur Certificats délivrés.
Déterminer l'emplacement du certificat venant d'être émis et ajouter la colonne Clé archivée à la liste d'affichage des composants logiciels.
Confirmez que le mot Oui s'affiche dans la colonne Clé archivée pour le certificat venant d'être émis.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 83 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.83" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">83</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID887fa092475a4f92804af124cf8eff1c"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>