Supposons le scénario suivant :
- Une autorité de certification est mise en œuvre sur le réseau.
- Le service d'autorité de certification ne démarre pas
- Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :
The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)
Un message d'erreur correspondant se trouve également dans l'affichage des événements (Événement n° 100) de l'organisme de certification :
Active Directory Certificate Services did not start: Could not load or verify the current CA certificate. ADCS Labor Issuing CA 3 The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE).
Cause
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Dans le cas présent, l'autorité de certification émettrice subordonnée n'a pas pu vérifier l'état de révocation de son certificat d'autorité de certification actuellement utilisé.
Cette erreur ne se produit qu'avec le certificat d'autorité de certification actuellement utilisé. L'autorité de certification utilise toujours le dernier des certificats installés pour émettre des certificats. Cette erreur ne devrait pas se produire avec les certificats d'autorité de certification précédents.
La cause peut généralement être trouvée dans la console d'administration de l'ICP de l'entreprise (pkiview.msc) peuvent être déterminées.
En général, dans un tel cas, la liste de révocation de l'autorité de certification parente ne peut pas être consultée (hors ligne, bloquée par le pare-feu), ou elle a expiré (dans les deux cas, le code d'erreur CRYPT_E_REVOCATION_OFFLINE généré).
Solution : établir et publier la liste de blocage de l'autorité de certification supérieure
En général, le problème peut être résolu par Délivrance et publication d'une nouvelle liste de blocage de certificats sur l'autorité de certification supérieure.
Il convient également de s'assurer que la liste de blocage est effectivement consultable, c'est-à-dire que la résolution de nom et la liste de blocage doivent, entre autres, être disponibles. Règles de pare-feu être contrôlés.
Solution de contournement : désactiver la vérification de la liste de révocation pour l'autorité de certification
Il n'est pas toujours possible de rétablir à temps la disponibilité des informations sur l'état de blocage, car on dépend par exemple d'une entité externe.
En tant que Solution transitoire permet, dans de tels cas, de désactiver le contrôle de la liste de blocage pour l'autorité de certification. Pour cela, le drapeau CRLF_REVCHECK_IGNORE_OFFLINE sur l'autorité de certification.
La solution privilégiée devrait toujours être d'éliminer la cause de l'échec de la récupération des informations de verrouillage.
Il convient tout d'abord de consulter la configuration actuelle à l'aide de la commande de ligne de commande suivante :
certutil -getreg CA\CRLFlags
Dans l'exemple ci-dessus, le CRLF_REVCHECK_IGNORE_OFFLINE est mis en retrait et entre parenthèses, ce qui signifie qu'il n'est pas actif. Il peut être activé à l'aide de la commande de ligne de commande suivante :
certutil -setreg CA\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE
Il faut ensuite redémarrer le service d'autorité de certification.
Le drapeau peut être retiré à l'aide de la commande suivante :
certutil -setreg CA\CRLFlags -CRLF_REVCHECK_IGNORE_OFFLINE
Existe-t-il une solution pour le cas où le certificat d'autorité de certification ne contient pas d'informations de verrouillage ?
Dans ce cas également, il est préférable de déterminer pourquoi le certificat d'autorité de certification ne contient pas d'informations de verrouillage et de remédier à la cause sous-jacente.
Il peut arriver que l'on reçoive un certificat devant l'autorité de certification supérieure qui ne dispose d'aucune information de révocation - c'est-à-dire d'aucune référence à une liste de révocation de certificats/CRL ou à un Répondant en ligne (OCSP) dispose.
Dans ce cas, le drapeau CRLF_REVCHECK_IGNORE_NOREVCHECK être activés de la même manière.
Liens complémentaires :
- Le service d'autorité de certification ne démarre pas et affiche le message d'erreur "A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT)".
- Le service d'autorité de certification ne démarre pas et affiche le message d'erreur „A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING)“.“
- Le service d'autorité de certification ne démarre pas et affiche le message d'erreur „The certificate is revoked. 0x80092010 (-2146885616 CRYPT_E_REVOKED)“.“
- Quelle est l'influence d'une liste de blocage non fonctionnelle d'un certificat d'autorité de certification sur l'autorité de certification ?
- Quelle est l'influence de la révocation d'un certificat d'autorité de certification sur l'autorité de certification ?
- Quelle est l'influence du retrait du statut de confiance d'un certificat d'autorité de certification racine sur l'autorité de certification ?
Sources externes
- Ignore Revocation Checking - La bête noire de mon existence ! (PKI Solutions, Inc.)
Français 
Deutsch 
English
Les commentaires sont fermés.