Les services de certificats n'ont pas pu utiliser un certificat du Key Recovery Agent.
Les services de certificats Active Directory (AD CS) nécessitent des certificats de Key Recovery Agents, des certificats d'échange (XCHG) et des clés pour prendre en charge l'archivage de clé. Le fonctionnement des certificats de Key Recovery Agents, des certificats XCHG et les fournisseur de services de chiffrement (CSP) nécessaire pour les créer sont critiques pour une infrastructure à clé publique.
Identifier et utiliser un certificat du Key Recovery Agent valide
Pour résoudre ce problème, vous devez identifier pourquoi le certificat du Key Recovery Agent utilisé échoue. Un certificat du Key Recovery Agent devient généralement inutilisable lorsqu'il a expiré ou a été révoqué.
Pour effectuer cette procédure, vous devez avoir une autorisation de Gérer l'autorité de certification ou l’autorité appropriée doit vous avoir été déléguée.
Pour examiner la validité du certificat du Key Recovery Agent :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Autorité de certification.
Cliquez avec le bouton droit sur le nom de l'autorité de certification et cliquez sur Propriétés.
Cliquez sur l'onglet Agents de récupération et vérifiez si le certificat du Key Recovery Agent dont l'indice est mentionné dans le journal des événements a Expiré ou est Non valide. Pour vérifier sa validité, confirmez ses données de validité et qu'il contient l'extension d'utilisation améliorée de la clé (EKU) indiquant que ce certificat peut être utilisé pour récupérer la clé.
Si un certificat a expiré ou n'est pas valide, supprimez le certificat du Key Recovery Agent et affectez-en un nouveau. Vous devrez peut-être émettre un nouveau certificat du Key Recovery Agent avant qu'il puisse être enregistré avec l'autorité de certification.
Pour plus d'informations, voir http://go.microsoft.com/fwlink/?LinkID=95698.
Pour confirmer que l'archivage et la récupération de clé fonctionnent correctement :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Autorité de certification.
Dans l'arborescence de la console, cliquez avec le bouton droit sur le nom de l'autorité de certification puis sur Propriétés.
Cliquez sur l'onglet Agents de récupération.
Confirmez que tous les certificats de Key Recovery Agents sont répertoriés comme Valides.
Dans le conteneur Modèles de certificats, confirmez qu'un certificat de cryptage a l'option Archive la clé privée de cryptage du sujet configurée sous l'onglet Traitement de la demande.
Ouvrez le composant logiciel enfichable Certificats pour un compte d'utilisateur ayant des autorisations d'inscription pour un certificat basé sur ce modèle de certificat.
Dans l'arborescence de la console, cliquez avec le bouton droit sur Personnel, pointez sur Toutes les tâches et cliquez sur Demander un nouveau certificat pour faire démarrer l'Assistant d'inscription de certificats.
Inscrire un certificat basé sur le modèle de cryptage et confirmer que l'inscription s'effectue avec succès et qu'aucune erreur n'est signalée.
Lorsque l'inscription est terminée, ouvrez le composant logiciel enfichable de l'autorité de certification.
Dans l’arborescence de la console, cliquez sur Certificats délivrés.
Déterminer l'emplacement du certificat venant d'être émis et ajouter la colonne Clé archivée à la liste d'affichage des composants logiciels.
Confirmez que le mot Oui s'affiche dans la colonne Clé archivée pour le certificat venant d'être émis.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 85 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.85" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">85</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>