Un certificat d'autorité de certification racine a été ajouté au magasin racine local de l'entreprise.
La validation de chaîne ou de chemin est le processus grâce auquel des certificats d'entité de fin (utilisateur ou ordinateur) et tous les certificats de l'autorité de certification sont traités de manière hiérarchique jusqu'à ce que la chaîne de certificat se termine sous la forme d'un certificat approuvé Il s'agit généralement d'un certificat d'autorité de certification racine. Le démarrage des services de certificats Active Directory (AD CS) peut échouer s'il y a des problèmes de disponibilité, de validité et de validation de chaîne pour le certificat d'autorité de certification.
Publiez un certificat d'autorité de certification racine pour activer les services de domaine Active Directory
Si l'autorité de certification a été installée récemment, une instance de cette erreur peut être considérée comme normale.
Si cette erreur persiste ou si des clients détectent des erreurs similaires, vous pouvez publier manuellement le certificat racine sur les services de domaine Active Directory (AD DS).
Pour effectuer cette procédure, vous devez avoir une autorisation de Gérer l'autorité de certification ou l’autorité appropriée doit vous avoir été déléguée.
Pour publier un certificat d'autorité de certification racine sur AD DS :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, entrez cmd, puis appuyez sur ENTRÉE.
Entrez certutil -f -dspublish <CAcert.cer> RootCA et appuyez sur ENTRÉE.
Le fichier de certificat d'autorité de certification racine se trouve dans %windir%\system32\certsrv\certenroll. Remplacez CAcert.cer par le nom du fichier de certificat d'autorité de certification racine.
Pour confirmer que le certificat et la chaîne de l'autorité de certification sont valides :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, entrez mmc, puis appuyez sur ENTRÉE.
Si la boîte de dialogue Contrôle de compte d'utilisateur s'affiche, confirmez que l'action affichée est celle que vous souhaitez, puis cliquez sur Continuer.
Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable, cliquez sur Certificats, puis sur Ajouter.
Cliquez sur Compte d'ordinateur, puis sur Suivant.
Cliquez sur Terminer, puis sur OK.
Dans l'arborescence de la console, cliquez sur Certificats (Ordinateur local), puis sur Personnel.
Confirmer qu'un certificat d'autorité de certification n'ayant pas expiré existe dans ce magasin.
Cliquez avec le bouton droit sur ce certificat et sélectionnez Exporter pour lancer l'Assistant exportation de certificat.
Exporter le certificat vers un fichier nommé Cert.cer.
Saisissez Démarrer, cmd et appuyez sur ENTRÉE.
Entrez certutil -urlfetch -verify <cert.cer> et appuyez sur ENTRÉE.
Si aucune erreur de validation, de génération de chaîne ou de vérification de révocation n'est signalée, la chaîne est valide.
Target | Microsoft.Windows.CertificateServices.CARole.6.3 |
Category | EventCollection |
Enabled | True |
Event_ID | 103 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.3.CertSvcEvents.103" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.3" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">103</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>