Le certificat du Key Recovery Agent va expirer.
Les services de certificats Active Directory (AD CS) nécessitent des certificats de Key Recovery Agents, des certificats d'échange (XCHG) et des clés pour prendre en charge l'archivage de clé. Le fonctionnement des certificats de Key Recovery Agents, des certificats XCHG et les fournisseur de services de chiffrement (CSP) nécessaire pour les créer sont critiques pour une infrastructure à clé publique.
Renouvelez le certificat du Key Recovery Agent qui arrive à expiration.
Le certificat du Key Recovery Agent qui arrive à expiration ne peut plus être utilisé pour la récupération de clé. Pour continuer à utiliser l'archivage de clé, renouvelez le certificat du Key Recovery Agent.
Pour exécuter cette procédure, vous devez être l'utilisateur inscrit pour le certificat du Key Recovery Agent.
Pour renouveler un certificat du Key Recovery Agent :
Cliquez sur Démarrer, entrez certmgr.msc, puis appuyez sur ENTRÉE.
Dans l'arborescence de la console, double-cliquez sur Certificats, double-cliquez sur Personnel et cliquez sur Certificats.
Cliquez avec le bouton droit sur le certificat du Key Recovery Agent, pointez sur Toutes les tâches et cliquez sur Renouveler le certificat avec une nouvelle clé, ou cliquez sur Opérations avancées et sur Renouveler ce certificat avec la même clé pour démarrer l'Assistant Renouvellement de certificat.
Suivez les étapes de l'Assistant pour renouveler le certificat.
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Autorité de certification.
Dans l’arborescence de la console, cliquez sur le nom de l'autorité de certification.
Dans le menu Action, cliquez sur Propriétés.
Cliquez sur l'onglet Agents de récupération, puis cliquez sur Archiver la clé.
Dans Nombre d'agents de récupération à utiliser, entrez le nombre de Key Recovery Agents qui seront utilisés pour chiffrer la clé archivée. Le nombre d’agents de récupération à utiliser doit être compris entre un et le nombre de certificats du Key Recovery Agent qui ont été configurés. Cliquez sur Ajouter.
Dans Sélection du Key Recovery Agent, cliquez sur les certificats de récupération affichés, puis sur OK. Les certificats devraient apparaître sur la liste Certificats de Key Recovery Agents, mais leur état est répertorié comme Non chargé.
Cliquez sur OK ou sur Appliquer. Lorsque vous êtes invité à redémarrer l'autorité de certification, cliquez sur Oui. Lorsque l'autorité de certification a redémarré, l'état des certificats doit être répertorié comme Valide.
Pour confirmer que l'archivage et la récupération de clé fonctionnent correctement :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Autorité de certification.
Dans l'arborescence de la console, cliquez avec le bouton droit sur le nom de l'autorité de certification puis sur Propriétés.
Cliquez sur l'onglet Agents de récupération.
Confirmez que tous les certificats de Key Recovery Agents sont répertoriés comme Valides.
Dans le conteneur Modèles de certificats, confirmez qu'un certificat de cryptage a l'option Archive la clé privée de cryptage du sujet configurée sous l'onglet Traitement de la demande.
Ouvrez le composant logiciel enfichable Certificats pour un compte d'utilisateur ayant des autorisations d'inscription pour un certificat basé sur ce modèle de certificat.
Dans l'arborescence de la console, cliquez avec le bouton droit sur Personnel, pointez sur Toutes les tâches et cliquez sur Demander un nouveau certificat pour faire démarrer l'Assistant d'inscription de certificats.
Inscrire un certificat basé sur le modèle de cryptage et confirmer que l'inscription s'effectue avec succès et qu'aucune erreur n'est signalée.
Lorsque l'inscription est terminée, ouvrez le composant logiciel enfichable de l'autorité de certification.
Dans l’arborescence de la console, cliquez sur Certificats délivrés.
Déterminer l'emplacement du certificat venant d'être émis et ajouter la colonne Clé archivée à la liste d'affichage des composants logiciels.
Confirmez que le mot Oui s'affiche dans la colonne Clé archivée pour le certificat venant d'être émis.
Target | Microsoft.Windows.CertificateServices.CARole.6.2 |
Category | EventCollection |
Enabled | True |
Event_ID | 127 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.2.CertSvcEvents.127" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.2" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">127</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>