Le service d'autorité de certification ne démarre pas et affiche le message d'erreur "A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT)".

Supposons le scénario suivant :

• Une autorité de certification est mise en œuvre sur le réseau.
• Le service d'autorité de certification ne démarre pas
• Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :

A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT)

Un programme correspondant Événement avec le n° 100 se trouve également dans l'observateur d'événements de l'autorité de certification :

Active Directory Certificate Services did not start: Could not load or verify the current CA certificate. ADCS Labor Issuing CA 3 A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT).

Cause

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Cette erreur est étroitement liée à l'erreur CERT_E_CHAINING. Dans le cas présent, la chaîne de certificats peut certes être établie jusqu'au certificat de l'autorité de certification racine, mais celui-ci ne se trouve pas dans la mémoire des autorités de certification racine fiables de l'autorité de certification.

Solution

Outre l'autorité de certification elle-même, tous les autres participants doivent bien sûr également faire confiance aux certificats. Il est donc tout à fait judicieux de ne pas se contenter d'importer les certificats dans le magasin de certificats local de l'autorité de certification, mais de les distribuer de manière centralisée dans toute la structure Active Directory, par exemple via des stratégies de groupe.

Pour que le service d'autorité de certification puisse démarrer, la chaîne de certificats, c'est-à-dire tous les certificats jusqu'à l'autorité de certification racine, doit être installée dans le magasin de certificats de l'ordinateur de l'autorité de certification. Cela peut être effectué via la console de gestion des certificats pour le compte d'ordinateur local (certlm.msc).

• Les certificats des autorités de certification racine doivent être enregistrés dans le magasin de certificats „ Trusted Root Certification Authorities “ du compte informatique.

Liens complémentaires :

• Le service d'autorité de certification ne démarre pas et affiche le message d'erreur "A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING)".
• Le service d'autorité de certification ne démarre pas et affiche le message d'erreur „ 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE) “.“
• Le service d'autorité de certification ne démarre pas et affiche le message d'erreur "The certificate is revoked. 0x80092010 (-2146885616 CRYPT_E_REVOKED)".
• Quelle est l'influence d'une liste de blocage non fonctionnelle d'un certificat d'autorité de certification sur l'autorité de certification ?
• Quelle est l'influence de la révocation d'un certificat d'autorité de certification sur l'autorité de certification ?
• Quelle est l'influence du retrait du statut de confiance d'un certificat d'autorité de certification racine sur l'autorité de certification ?