Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit une solution pour résoudre un problème où le renouvellement du certificat De l’Agent d’inscription Exchange (demande hors connexion) à l’aide de NDES échoue.
S’applique à : Windows Server 2008 R2 Service Pack 1
Numéro de base de connaissances d’origine : 2712186
Symptômes
Vous obtenez l’erreur « État : indisponible » lors de la tentative de renouvellement du certificat « Exchange Enrollment Agent (demande hors connexion) » utilisé par NDES, à partir de la console du magasin de certificats d’ordinateur dans MMC.
Cause
Le service d’inscription d’appareil réseau (NDES) demande deux certificats en fonction des deux modèles de certificat suivants configurés avec l'« objectif prévu » (Utilisations de clés améliorées) défini sur « Agent de demande de certificat » :
- Chiffrement CEP.
- Agent d’inscription Exchange (demande hors connexion).
Lorsque vous installez le service NDES sur un serveur Windows Server 2008, vous devez fournir à un utilisateur de domaine que le NDES utilisera pour autoriser les demandes de certificat. Par conséquent, il existe différents contextes de sécurité à prendre en compte : le contexte du programme d’installation (qui installe le NDES) et le contexte de service (l’utilisateur de domaine fourni pendant l’installation et sous lequel le NDES s’exécute ultérieurement). Le certificat de l’Agent d’inscription est inscrit pendant l’installation et sous le contexte du programme d’installation, mais sera chargé par le NDES ultérieurement dans le contexte du service. Pour la raison ci-dessus, le certificat de l’Agent d’inscription (et le certificat de chiffrement CEP) doit être stocké dans le magasin commun auquel ce contexte peut accéder, et le magasin de certificats de l’ordinateur est choisi.
Toutefois, étant donné que le « Type d’objet » du modèle de certificat « Exchange Enrollment Agent (demande hors connexion) » est défini sur « Utilisateur », nous ne pouvons pas renouveler le modèle de certificat « Exchange Enrollment Agent (demande hors connexion) » dans la console MMC (magasin de certificats d’ordinateur) en raison d’un type d’objet incompatible. L’erreur « État : indisponible » est retournée dans cette situation.
Remarque : Ce problème ne se produit pas lors de la tentative de renouvellement du modèle de certificat « Chiffrement CEP », car son type d’objet est défini sur « Ordinateur ou autre appareil ». Par conséquent, le renouvellement de ce certificat peut réussir tant que vous disposez d’une autorisation suffisante sur le modèle de système et de certificat.
Résolution
Utilisez l’outil certreq.exe pour renouveler le certificat De l’Agent d’inscription Exchange (demande hors connexion) en procédant comme suit :
Créez un fichier nommé Request.inf avec le contenu suivant :
[Version]
Signature="$Windows NT$ »
[NewRequest]
RenewalCert="<Certificate Hash> »
MachineKeySet=TRUENote
Le fichier INF contient des options d’entrée qui définissent les paramètres de demande de certificat. Dans le fichier INF ci-dessus, il indique à l’outil en ligne de commande certreq.exe de renouveler le certificat avec le hachage de certificat spécifié. Vous pouvez obtenir le hachage de certificat de l’Agent d’inscription Exchange (demande hors connexion) en copiant la valeur de l’extension « t h umbprint » du certificat récupérée à partir de l’onglet Détails du certificat. Par exemple, si l’empreinte numérique du certificat est « 5 3 60 8f 10 49 1d 50 bf a2 9f 06 17 96 8a 93 05 13 cc b9 55 », nous devons modifier le contenu dans les lignes ci-dessous :
[Version]
Signature="$Windows NT$ »
[NewRequest]
RenewalCert="53 60 8f 10 49 1d 50 bf a2 9f 06 17 96 8a 93 05 13 cc b9 55 »
MachineKeySet=TRUENote
MachineKeySet défini sur « True » afin que le certificat et sa clé privée soient stockés dans le magasin de certificats d’ordinateur.
Note
Pour ouvrir le magasin de certificats d’ordinateur, reportez-vous à l’article technet suivant : Ajouter le composant logiciel enfichable Certificats à un composant logiciel enfichable MMC Ajouter le composant logiciel enfichable Certificats à une console MMC
Exécutez les trois commandes suivantes pour renouveler cet ancien certificat de l’agent d’inscription :
CertReq.exe -New Request.inf Certnew.req CertReq.exe -Submit Certnew.req Certnew.cer CertReq.exe -Accept Certnew.cerNote
- Vous aurez besoin d’autorisations administratives et d’autorisations d’inscription de certificat pour effectuer les actions ci-dessus. Si votre demande d’inscription doit attendre l’approbation du responsable de l’autorité de certification, contactez votre responsable d’autorité de certification pour approuver la demande. Vous pouvez également fournir le fichier de demande généré en première commande au gestionnaire de l’autorité de certification et demander un certificat afin que nous puissions utiliser la troisième commande pour installer le certificat.
- Les étapes ci-dessus s’appliquent à la situation où le modèle de certificat par défaut est utilisé pour NDES. Dans le cas où NDES est configuré pour utiliser un modèle spécifique, modifiez le contenu du fichier inf en conséquence. Pour plus d’informations sur la syntaxe du fichier de requête, consultez l’article suivant :
Annexe 3 : syntaxe Certreq.exe - Lors de l’exécution de la première commande ci-dessus, une boîte de dialogue s’affiche pour nous permettre de confirmer le certificat qui doit être renouvelé. Vérifiez que l’ancien certificat de l’agent d’inscription est sélectionné, puis cliquez sur OK.
- Dans la deuxième commande, une autre boîte de dialogue s’affiche pour nous permettre de choisir le serveur d’autorité de certification pour émettre le certificat de l’agent d’inscription renouvelé. Sélectionnez l’autorité de certification appropriée, puis cliquez sur OK.