Supposons le scénario suivant :
- Une autorité de certification est mise en œuvre sur le réseau.
- Le service d'autorité de certification ne démarre pas
- Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :
A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING)
Un programme correspondant Événement avec le n° 100 se trouve également dans l'observateur d'événements de l'autorité de certification :
Active Directory Certificate Services did not start: Could not load or verify the current CA certificate. ADCS Labor Issuing CA 3 A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING).
Cause
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Dieser Fehler tritt nur beim aktuell verwendeten Zertifizierungsstellen-Zertifikat auf. Die Zertifizierungsstelle nutzt immer das letzte der installierten Zertifikate für die Ausstellung von Zertifikaten. Bei den vorigen Zertifizierungsstellen-Zertifikaten sollte dieser Fehler nicht auftreten.
Die Zertifizierungsstelle kann die Vertrauenskette zum Zertifizierungsstellen-Zertifikat nicht herstellen.
Lösung: Vertrauensstatus herstellen
Nebst der Zertifizierungsstelle selbst müssen natürlich auch alle anderen Teilnehmer den Zertifikaten vertrauen. Daher ist es durchaus sinnvoll, die Zertifikate nicht nur in den lokalen Zertifikatspeicher der Zertifizierungsstelle zu importieren, sondern sie z.B. über Gruppenrichtlinien zentral in der gesamten Active Directory Gesamtstruktur zu verteilen.
Damit der Zertifizierungsstellen-Dienst gestartet werden kann, muss die Zertifikatkette, d.h. alle Zertifikate bis hin zur Stammzertifizierungsstelle im Computer-Zertifikatspeicher des Zertifizierungsstellen-Computers installiert sein. Dies kann über die Zertifikate-Managementkonsole für das lokale Computerkonto (certlm.msc) erfolgen.
- Stammzertifizierungsstellen-Zertifikate müssen in den „Trusted Root Certification Authorities“ Zertifikatspeicher des Computerkontos
- Zwischenzertifizierungsstellen-Zertifikate müssen in den „Intermediate Certification Authorities“ Zertifikatspeicher des Computerkontos
Liens complémentaires :
- Le service d'autorité de certification ne démarre pas et affiche le message d'erreur "A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT)".
- Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)“
- Le service d'autorité de certification ne démarre pas et affiche le message d'erreur "The certificate is revoked. 0x80092010 (-2146885616 CRYPT_E_REVOKED)".
- Welchen Einfluss hat eine nicht funktionierende Sperrliste eines Zertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle?
- Quelle est l'influence de la révocation d'un certificat d'autorité de certification sur l'autorité de certification ?
- Welchen Einfluss hat der Entzug des Vertrauensstatus eines Stammzertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle
Français 
Deutsch 
English
Les commentaires sont fermés.