Règle de collecte pour événement avec autorité de certification de source et ID 86

Résumé

Les services de certificats Active Directory (AD CS) nécessitent des certificats de Key Recovery Agents, des certificats d'échange (XCHG) et des clés pour prendre en charge l'archivage de clé. Le fonctionnement des certificats de Key Recovery Agents, des certificats XCHG et les fournisseur de services de chiffrement (CSP) nécessaire pour les créer sont critiques pour une infrastructure à clé publique.

Résolutions

Utiliser un fournisseur de services de chiffrement prenant en charge l'archivage et la récupération de clé

Il ne sera peut-être pas possible d'utiliser des outils administratifs pour résoudre des problèmes dus à des fournisseurs de chiffrement, à des composants logiciels effectuant le chiffrement et à des tâches liées pour la génération de certificats de chiffrement. Les tâches suivantes peuvent cependant révéler des informations de diagnostic pour contribuer au processus de résolution :

• Identifiez et testez votre fournisseur de chiffrement.

• Si vous avez toujours des problèmes et utilisez un fournisseur non Microsoft, contactez le vendeur pour obtenir des informations relatives à la résolution du problème. 

• Vous pouvez également réinitialiser le fournisseur de clé de chiffrement par défaut mais vous devrez également révoquer le certificat Exchange actuel de l'autorité de certification, de manière à ce qu'un nouveau certificat basé sur le nouveau fournisseur soit émis.

• Si vous avez toujours des problèmes et utilisez un fournisseur Microsoft, contactez le support technique de Microsoft.  

Identifier et tester votre fournisseur de chiffrement

Pour effectuer cette procédure, vous devez avoir une autorisation de Gérer l'autorité de certification ou l’autorité appropriée doit vous avoir été déléguée.

Pour identifier et tester le fournisseur de chiffrement que vous utilisez :

• Ouvrez une fenêtre d’invite de commandes.

• Tapez certutil -getreg ca\EncryptionCSP puis appuyez sur ENTRÉE.

• Entrez certutil -csp <providername> -csptest et appuyez sur ENTRÉE. Remplacez le nom du fournisseur par le fournisseur identifié à la sortie des résultats de l'étape 2.

• Si vous utilisez un fournisseur de chiffrement non Microsoft, contactez le vendeur pour obtenir de l'aide. Dans le cas contraire, contactez les services du Support Technique Microsoft.

Réinitialiser le fournisseur de clé de chiffrement par défaut

Pour effectuer cette procédure, vous devez être membre du groupe Administrateurs local ou l’autorité appropriée doit vous avoir été déléguée.

Vous pouvez configurer l'autorité de certification pour utiliser le fournisseur Microsoft par défaut pour des certificats de chiffrement en définissant la clé de Registre suivante sur Microsoft Software Key Storage Provider.

Note : il est possible que vous deviez révoquer le certificat Exchange de l'autorité de certification, s'il y en a un, de manière à ce qu'un nouveau certificat basé sur le nouveau fournisseur soit émis. Redémarrez ensuite l'autorité de certification.

Pour modifier un fournisseur de clé de chiffrement :

Attention : une modification incorrecte du Registre peut endommager gravement votre système. Par conséquent, avant d'apporter des modifications au Registre, sauvegardez toutes vos données importantes.

• Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, entrez regedit, puis appuyez sur ENTRÉE.

• Allez à HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Nom de l'autorité de certification\EncryptionCSP\Provider.

• Modifiez la valeur mentionnée du Microsoft Software Key Storage Provider.

• Ouvrez le composant logiciel enfichable Autorité de certification.

• Dans l’arborescence de la console, cliquez sur Certificats délivrés.

• Dans le volet Détails, sélectionnez le certificat Exchange de l'autorité de certification.

• Dans le menu Action, pointez sur Toutes les tâches et cliquez sur Révoquer un certificat.

• Sélectionnez la raison de la révocation du certificat, réglez l’heure de révocation, si nécessaire, puis cliquez sur Oui.

• Redémarrez l’autorité de certification.

Informations complémentaires

Pour confirmer que l'archivage et la récupération de clé fonctionnent correctement :

• Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Autorité de certification.

• Dans l'arborescence de la console, cliquez avec le bouton droit sur le nom de l'autorité de certification puis sur Propriétés.

• Cliquez sur l'onglet Agents de récupération.

• Confirmez que tous les certificats de Key Recovery Agents sont répertoriés comme Valides.

• Dans le conteneur Modèles de certificats, confirmez qu'un certificat de cryptage a l'option Archive la clé privée de cryptage du sujet configurée sous l'onglet Traitement de la demande.

• Ouvrez le composant logiciel enfichable Certificats pour un compte d'utilisateur ayant des autorisations d'inscription pour un certificat basé sur ce modèle de certificat.

• Dans l'arborescence de la console, cliquez avec le bouton droit sur Personnel, pointez sur Toutes les tâches et cliquez sur Demander un nouveau certificat pour faire démarrer l'Assistant d'inscription de certificats.

• Inscrire un certificat basé sur le modèle de cryptage et confirmer que l'inscription s'effectue avec succès et qu'aucune erreur n'est signalée.

• Lorsque l'inscription est terminée, ouvrez le composant logiciel enfichable de l'autorité de certification.

• Dans l’arborescence de la console, cliquez sur Certificats délivrés.

• Déterminer l'emplacement du certificat venant d'être émis et ajouter la colonne Clé archivée à la liste d'affichage des composants logiciels.

• Confirmez que le mot Oui s'affiche dans la colonne Clé archivée pour le certificat venant d'être émis.