Lors de l'installation d'un nouveau certificat d'autorité de certification, on reçoit le message d'erreur "The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)".

Supposons le scénario suivant :

• On installe un nouveau certificat d'autorité de certification sur l'autorité de certification, soit parce que l'autorité de certification a été réinstallée, soit parce que le certificat d'autorité de certification a été renouvelé.
• Le certificat d'autorité de certification a été délivré par une autorité de certification supérieure.
• Lors de l'installation, on obtient le message d'erreur suivant :

Cannot verify certificate chain. Do you wish to ignore the error and continue? The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)

Cause

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Cet avertissement est généré si le nouveau certificat d'autorité de certification ne contient pas de point de distribution de liste de révocation de certificat (CDP).

Celles-ci devraient être inscrites dans le certificat par l'autorité de certification supérieure lors de la signature du certificat de l'autorité de certification.

Si possible, il convient donc d'annuler et de demander à l'autorité de certification supérieure d'enregistrer les points de distribution de la liste de blocage.

Si cela n'est pas possible, il est tout de même possible d'installer le certificat CA - mais il ne pourra alors pas être vérifié s'il est bloqué.

Il est également possible de supprimer complètement le message en exécutant la commande de ligne de commande suivante sur l'autorité de certification :

certutil -setreg CA\CRLFlags +CRLF_REVCHECK_IGNORE_NOREVCHECK

Cela n'est toutefois pas obligatoire, car un avertissement unique est généré uniquement lors de l'installation du certificat d'autorité de certification.

Liens complémentaires :

• Le service d'autorité de certification ne démarre pas et affiche le message d'erreur "The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)".