L'initialisation des compteurs de performance du service de répondeur en ligne a échoué.
La validation de chaîne ou de chemin est le processus grâce auquel des certificats d'entité de fin (utilisateur ou ordinateur) et tous les certificats de l'autorité de certification sont traités de manière hiérarchique jusqu'à ce que la chaîne de certificat se termine sous la forme d'un certificat approuvé Il s'agit généralement d'un certificat d'autorité de certification racine. Le démarrage des services de certificats Active Directory (AD CS) peut échouer s'il y a des problèmes de disponibilité, de validité et de validation de chaîne pour le certificat d'autorité de certification.
Charger et confirmer un certificat d'autorité de certification et une chaîne valides
Vous devez confirmer qu'une autorité de certification valide est accessible afin que la validation de la chaîne de certificats ait lieu. Vous pouvez résoudre des problèmes associés à la recherche d'un certificat d'autorité de certification valide en confirmant ce qui suit :
Un certificat d'autorité de certification valide est disponible sur l'ordinateur hébergeant l'autorité de certification.
Une autorité de certification valide existe dans le conteneur AIA.
La chaîne de certificat de l'autorité de certification peut être validée.
Si une liste de révocation de certificats pour une autorité de certification a expiré, une nouvelle liste de révocation de certificats est générée.
Pour effectuer ces procédures, vous devez avoir une autorisation de Gérer l'autorité de certification ou l’autorité appropriée doit vous avoir été déléguée.
Confirmer qu'un certificat d'autorité de certification valide existe sur l'ordinateur hébergeant l'autorité de certification.
Pour confirmer qu'un certificat d'autorité de certification valide est disponible sur l'ordinateur hébergeant l'autorité de certification :
Cliquez sur Démarrer, entrez mmc puis appuyez sur ENTRÉE.
Si la boîte de dialogue Contrôle de compte d’utilisateur s’ouvre, vérifiez que l’action affichée correspond à ce que vous voulez, puis cliquez sur Continuer.
Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable, cliquez sur Certificats, puis sur Ajouter.
Cliquez sur Compte d'ordinateur, puis sur Suivant.
Cliquez sur Terminer, puis sur OK.
Dans l'arborescence de la console, cliquez sur Certificats (Ordinateur local), puis sur Personnel.
Confirmer qu'un certificat d'autorité de certification n'ayant pas expiré existe dans ce magasin.
Confirmer qu'un certificat d'autorité de certification valide existe dans le conteneur AIA.
Pour confirmer qu'un certificat d'autorité de certification valide existe dans le conteneur AIA :
Cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Sites et services Active Directory.
Cliquez sur Sites et services Active Directory [nom de domaine].
Dans le menu Affichage, cliquez sur Afficher le nœud des services.
Double-cliquez sur Services, double-cliquez sur Public Key Services et cliquez sur AIA.
Confirmer qu'un certificat d'autorité de certification n'ayant pas expiré existe dans le conteneur AIA.
Valider la chaîne de certificats d'autorité de certification
Pour valider une chaîne de certificats d'autorité de certification :
Ouvrez une fenêtre d’invite de commande.
Tapez Certutil -Urlfetch -Verify sur le certificat d'autorité de certification et appuyez sur ENTRÉE.
Confirmer que les emplacements réseau des points de distribution du conteneur AIA et de la liste de révocation de certificats sont disponibles, que tous les certificats de la chaîne sont valides et non révoqués que des listes de révocation de certificats valides sont disponibles.
Si les emplacements des points de distribution du conteneur AIA et de la liste de révocation de certificats ne sont pas disponibles, identifiez et résolvez le problème empêchant d'y accéder.
Si des certificats de la chaîne ont expiré ou ont été révoqués, renouvelez-les. Si un certificat d'autorité de certification doit être à nouveau émis, tous les certificats situés en dessous de lui dans la chaîne devront également l'être.
Si une liste de révocation de certificats pour une autorité de certification de la chaîne a expiré, générez de nouvelles listes de révocation de base et delta sur cette autorité de certification et copiez-les aux emplacements requis.
Si l'autorité de certification est hors connexion, il est possible que vous deviez la redémarrer.
Vérifier et publier des listes de révocation de certificats
Pour vérifier et, le cas échéant, publier de nouvelles listes de révocation de certificats :
Dans l’autorité de certification qui est la source du problème, vérifiez la liste de révocation de certificats actuellement publiée qui est créée par défaut dans le dossier %windir%\System32\CertSrv\CertEnroll.
Si les listes de révocation de certificats se trouvant actuellement à cet emplacement ont expiré ou ne sont pas valides, ouvrez une fenêtre d'invite de commande, tapez certutil -CRL et appuyez sur ENTRÉE pour publier une nouvelle liste de révocation de certificats.
Pour générer de nouvelles listes de révocation de certificats de base et delta :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, pointez sur Outils d'administration et sélectionnez Autorité de certification.
Dans l’arborescence de la console, cliquez sur Certificats révoqués.
Dans le menu Action, pointez sur Toutes les tâches et cliquez sur Publier.
Sélectionnez Nouvelle liste de révocation de certificats pour écraser des listes de révocation de certificats préalablement publiées, ou sélectionnez seulement Liste de révocation de certificats delta pour publier une liste de révocation de certificats delta actuelle.
Pour créer une liste de révocation de certificats avec l'outil en ligne de commande Certutil :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, entrez cmd, puis appuyez sur ENTRÉE.
Entrez certutil -CRL et appuyez sur ENTRÉE.
Pour publier des listes de révocation de certifications vers AD DS avec l'outil en ligne de commande Certutil :
Ouvrez une fenêtre d’invite de commande.
Tapez certutil -dspublish "<NomListeRévocationCertificats.crl>" ldap:///CN=<nom de l’autorité de certification>,CN=<nom de l’hôte de l’autorité de certification>,CN=CDP,CN=Public Key Services,CN=Ser vices,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint puis appuyez sur ENTRÉE.
Remplacez crlname.crl par le nom de votre fichier de listes de révocation de certification, le nom de l'autorité de certification et le nom d'hôte de l'autorité de certification par votre nom d'autorité de certification, et le nom de l'hôte exécuté par l'autorité de certification ainsi que contoso et com par l'espace de noms de votre domaine Active Directory.
Pour confirmer que le certificat et la chaîne de l'autorité de certification sont valides :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, entrez mmc, puis appuyez sur ENTRÉE.
Si la boîte de dialogue Contrôle de compte d’utilisateur s’ouvre, vérifiez que l’action affichée correspond à ce que vous voulez, puis cliquez sur Continuer.
Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable, sur Certificats, puis sur Ajouter.
Cliquez sur Compte d'ordinateur, puis sur Suivant.
Cliquez sur Terminer, puis sur OK.
Dans l'arborescence de la console, cliquez sur Certificats (Ordinateur local), puis sur Personnel.
Confirmer qu'un certificat d'autorité de certification n'ayant pas expiré existe dans ce magasin.
Cliquez avec le bouton droit sur ce certificat et sélectionnez Exporter pour lancer l'Assistant exportation de certificat.
Exporter le certificat vers un fichier nommé Cert.cer.
Saisissez Démarrer, cmd et appuyez sur ENTRÉE.
Tapez certutil -urlfetch -verify <cert.cer>, puis appuyez sur ENTRÉE.
Si aucune erreur de validation, de génération de chaîne ou de vérification de révocation n'est signalée, la chaîne est valide.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 31 |
Event Source | Microsoft-Windows-OnlineResponder |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
WriteToOCSPEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.OCSPEvents.31" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">31</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponder</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToOCSPEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher"/>
</WriteActions>
</Rule>