Cette section répertorie les problèmes courants susceptibles de se produire lorsque vous utilisez le composant logiciel enfichable Modèles de certificats ou travaillez avec des modèles de certificats. Pour plus d’informations sur la résolution des problèmes liés aux modèles de certificats, voir la résolution des problèmes liés au service AD CS (Active Directory Certificate Services) (
Quels sont les problèmes rencontrés ?
-
Le composant logiciel enfichable modèles de certificats ne répertorie aucun modèle après avoir invité à installer de nouveaux modèles de certificats.
-
Aucun certificat n’est délivré aux clients.
-
Les certificats sont délivrés aux sujets, mais les opérations de chiffrement avec ces certificats échouent.
-
Les contrôleurs de domaine n’obtiennent pas de certificat de contrôleur de domaine.
-
Les clients ne peuvent pas obtenir de certificat par l’intermédiaire de l’inscription automatique.
-
Les noms des modèles de certificats dans le composant logiciel enfichable sont incohérents entre les affichages ou les fenêtres.
-
La clé privée ne peut pas être exportée à partir des certificats de la carte à puce même si la clé privée à exporter est sélectionnée dans le modèle de certificat.
-
Le modèle de certificat est modifié, mais certaines Autorités de certification (CA) contiennent toujours la version non modifiée.
-
La clé privée n’est pas archivée même si l’option Archive la clé privée de chiffrement du sujet est sélectionnée et que l’Autorité de certification est configurée pour exiger la récupération de clé.
-
L’inscription automatique m’invite à renouveler un certificat qui ne m’appartient pas, et mon magasin de certificats personnel contient des certificats que je n’ai pas copiés dans cet emplacement.
Le composant logiciel enfichable modèles de certificats ne répertorie aucun modèle après avoir invité à installer de nouveaux modèles de certificats.
-
Cause : Les modèles de certificats n’ont pas encore été répliqués vers l’Autorité de certification (CA) à laquelle est connecté l’ordinateur. Cette réplication fait partie de la réplication Active Directory.
-
Solution : Attendez que les modèles de certificats soient répliqués puis rouvrez le composant logiciel enfichable modèles de certificats.
Aucun certificat n’est délivré aux clients.
-
Cause : La durée de vie restante du certificat d’émission utilisé par l’Autorité de certification (CA) est plus courte que la période de chevauchement du modèle configurée pour le modèle de certificat demandé. Cela signifie que le certificat délivré serait immédiatement qualifié pour une réinscription. Au lieu d’émettre et de renouveler continuellement ce certificat, la demande de certificat n’est pas traitée.
-
Solution : Renouvelez le certificat d’émission utilisé par l’Autorité de certification.
Les certificats sont délivrés aux sujets, mais les opérations de chiffrement avec ces certificats échouent.
-
Cause : Le fournisseur de services de chiffrement ne répond pas aux paramètres d’utilisation des clés ou n’existe pas.
-
Solution : Vérifiez que vous choisissez le fournisseur dans le modèle qui prend en charge le type d’opération de chiffrement auquel est destiné le certificat.
Les contrôleurs de domaine n’obtiennent pas de certificat de contrôleur de domaine.
-
Cause : L’inscription automatique a été désactivée à l’aide des paramètres de stratégie de groupe pour des contrôleurs de domaine. Les contrôleurs de domaine obtiennent leurs certificats par l’intermédiaire de l’inscription automatique.
-
Solution : Activez l’inscription automatique pour les contrôleurs de domaine.
-
Cause : Le paramètre par défaut de demande de certificat automatique pour les contrôleurs de domaine a été supprimé de la stratégie des contrôleurs de domaine par défaut.
-
Solution : Créez une nouvelle demande de certificat automatique dans la stratégie des contrôleurs de domaine par défaut pour le modèle de certificat de contrôleur de domaine.
Les clients ne peuvent pas obtenir de certificat par l’intermédiaire de l’inscription automatique.
-
Cause : Les autorisations de sécurité doivent être définies pour autoriser les sujets prévus à inscrire et inscrire automatiquement sur le modèle de certificat. Les deux autorisations sont nécessaires pour permettre l’inscription automatique.
-
Solution : Modifiez la liste de contrôle d’accès sur le modèle de certificat pour accorder des autorisations de lecture, d’inscription et d’inscription automatique aux sujets de votre choix.
Les noms des modèles de certificats dans le composant logiciel enfichable sont incohérents entre les affichages ou les fenêtres.
-
Cause : Le composant Sites et services Active Directory est utilisé pour afficher les modèles de certificats. Ce composant logiciel enfichable peut ne pas fournir un affichage aussi précis que les modèles de certificats.
-
Solution : Utilisez le composant logiciel enfichable modèles de certificats pour administrer les modèles de certificats.
La clé privée ne peut pas être exportée à partir des certificats de la carte à puce même si la clé privée à exporter est sélectionnée dans le modèle de certificat.
-
Cause : Les cartes à puce ne permettent pas l’exportation des clés privées une fois qu’elles sont écrites dans la carte à puce.
-
Solution : Aucune
Le modèle de certificat est modifié, mais certaines Autorités de certification (CA) contiennent toujours la version non modifiée.
-
Cause : Les modèles de certificats sont répliqués entre les Autorités de certification à l’aide du processus de réplication. Étant donné que cette réplication n’est pas instantanée, il peut y avoir un court délai avant que la nouvelle version du modèle soit disponible sur toutes les Autorités de certification.
-
Solution : Attendez que le modèle modifié soit répliqué vers toutes les Autorités de certification. Pour afficher les modèles de certificats qui sont disponibles dans l’Autorité de certification, utilisez l’outil en ligne de commande Certutil.exe.
La clé privée n’est pas archivée même si l’option Archive la clé privée de chiffrement du sujet est sélectionnée et que l’Autorité de certification est configurée pour exiger la récupération de clé.
-
Cause : Les clés privées ne seront pas archivées lorsque l’utilisation de la clé pour le modèle de certificat est définie sur Signature. En effet, l’utilisation de la signature numérique nécessite que la clé ne soit pas récupérable.
-
Solution : aucune
L’inscription automatique m’invite à renouveler un certificat qui ne m’appartient pas, et mon magasin de certificats personnel contient des certificats que je n’ai pas copiés dans cet emplacement.
-
Cause : Lorsque vous utilisez la station d’inscription de carte à puce sur l’ordinateur de l’administrateur pour renouveler ou modifier le certificat stocké sur la carte à puce, le certificat de la carte à puce est copié dans le magasin des certificats privé de l’administrateur. Ce certificat peut être traité par l’inscription automatique et vous invite à commencer le processus de renouvellement.
-
Solution : Cliquez sur Démarrer pour lancer le processus de renouvellement de l’inscription automatique. Comme ce certificat ne vous appartient pas, le processus d’inscription automatique se termine après avoir cliqué sur Démarrer. Si vous souhaitez supprimer les certificats de votre magasin de certificats personnel, vous pouvez le faire manuellement.