Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit une solution de contournement pour un problème où les certificats d’autorité de certification racine valides distribués à l’aide de l’objet de stratégie de groupe apparaissent comme non approuvés.
Numéro de la base de connaissances d’origine : 4560600
Symptômes
Important
Les problèmes de certificat d’autorité de certification racine non approuvés peuvent être causés par de nombreux problèmes de configuration PKI. Cet article illustre uniquement l’une des causes possibles du certificat d’autorité de certification racine non approuvé.
Différentes applications qui utilisent des certificats et une infrastructure à clé publique (PKI) peuvent rencontrer des problèmes intermittents, tels que des erreurs de connectivité, une ou deux fois par jour/semaine. Ces problèmes se produisent en raison de l’échec de la vérification du certificat d’entité final. Les applications affectées peuvent retourner différentes erreurs de connectivité, mais elles auront toutes des erreurs de certificat racine non approuvées en commun. Voici un exemple de cette erreur :
| Hex | Décimal | Symbolique | Version de texte |
|---|---|---|---|
| 0x800b0109 | -2146762487 | (CERT_E_UNTRUSTEDROOT) | Une chaîne de certificats traitée, mais arrêtée dans un certificat racine |
Toute application compatible PKI qui utilise l’architecture système CryptoAPI peut être affectée par une perte intermittente de connectivité ou une défaillance dans les fonctionnalités dépendantes de l’infrastructure à clé publique/certificat. À compter d’avril 2020, la liste des applications connues pour être affectées par ce problème inclut, mais ne sont probablement pas limitées à :
- Citrix
- Service Bureau à distance (RDS)
- Skype
- Navigateurs Web
Les administrateurs peuvent identifier et résoudre les problèmes de certificat d’autorité de certification racine non approuvé en inspectant le journal CAPI2.
Concentrez vos efforts de résolution des problèmes sur les erreurs de stratégie de chaîne de génération/vérification de chaîne dans le journal CAPI2 contenant les signatures suivantes. Par exemple :
Erreur <DateTime> CAPI2 11 Build Chain
Erreur <DateTime> CAPI2 30 Vérifier la stratégie de chaîneRésultat : une chaîne de certificats a été traitée, mais terminée dans un certificat racine qui n’est pas approuvé par le fournisseur d’approbation.
[value] 800b0109
Cause
Des problèmes de certificat d’autorité de certification racine non approuvés peuvent se produire si le certificat d’autorité de certification racine est distribué à l’aide de la stratégie de groupe (GP) suivante :
Paramètres de sécurité des paramètres Windows de configuration>ordinateur :>stratégies>de clé>publique autorités de certification racines approuvées
Détails de la cause racine
Lors de la distribution du certificat d’autorité de certification racine à l’aide d’un objet de stratégie de groupe, le contenu de HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates celui-ci sera supprimé et réécrit. Cette suppression est par conception, car c’est la façon dont la stratégie de groupe applique les modifications du Registre.
Les modifications apportées à la zone du Registre Windows réservée aux certificats d’autorité de certification racine notifient le composant API Crypto de l’application cliente. Et l’application commence à synchroniser avec les modifications du Registre. La synchronisation est la façon dont les applications sont mises à jour et informées de la liste la plus récente des certificats d’autorité de certification racine valides.
Dans certains scénarios, le traitement des stratégies de groupe prendra plus de temps. Par exemple, de nombreux certificats d’autorité de certification racine sont distribués via un objet de stratégie de groupe (similaire à de nombreux pare-feu ou Applocker stratégies). Dans ces scénarios, l’application peut ne pas recevoir la liste complète des certificats d’autorité de certification racine approuvés.
En raison de cette raison, les certificats d’entité de fin qui chaînent à ces certificats d’autorité de certification racine manquants sont rendus comme non approuvés. Et différents problèmes liés au certificat commencent à se produire. Ce problème est intermittent et peut être résolu temporairement en appliquant le traitement ou le redémarrage des objets de stratégie de groupe.
Si le certificat d’autorité de certification racine est publié à l’aide de méthodes alternatives, les problèmes peuvent ne pas se produire, en raison de la situation mentionnée précédemment.
Solution de contournement
Microsoft est conscient de ce problème et travaille à améliorer l’expérience de certificat et d’API Crypto dans une prochaine version de Windows.
Pour résoudre ce problème, évitez de distribuer le certificat d’autorité de certification racine à l’aide de l’objet de stratégie de groupe. Il peut inclure le ciblage de l’emplacement du Registre (par exemple HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates) pour remettre le certificat d’autorité de certification racine au client.
Lors du stockage du certificat d’autorité de certification racine dans un autre magasin de certificats d’autorité de certification racine physique et racine, le problème doit être résolu.
Exemples de méthodes alternatives pour la publication de certificats d’autorité de certification racine
Méthode 1 : Utilisez l’outil certutil en ligne de commande et racinez le certificat d’autorité de certification stocké dans le fichier rootca.cer :
certutil -addstore root c:\tmp\rootca.cer
Note
Cette commande ne peut être exécutée que par les administrateurs locaux, et elle n’affectera qu’un seul ordinateur.
Méthode 2 : démarrez certlm.msc (les certificats console de gestion pour l’ordinateur local) et importez le certificat d’autorité de certification racine dans le magasin physique du Registre.
Note
La console certlm.msc ne peut être démarrée que par les administrateurs locaux. En outre, l’importation affecte uniquement une seule machine.
Méthode 3 : Utiliser les préférences d’objet de stratégie de groupe pour publier le certificat d’autorité de certification racine, comme décrit dans Préférences de stratégie de groupe
Pour publier le certificat d’autorité de certification racine, procédez comme suit :
Importez manuellement le certificat racine sur un ordinateur à l’aide de la
certutil -addstore root c:\tmp\rootca.cercommande (voir la méthode 1).Ouvrez GPMC.msc sur l’ordinateur que vous avez importé le certificat racine.
Modifiez l’objet de stratégie de groupe que vous souhaitez utiliser pour déployer les paramètres de Registre de la manière suivante :
- Modifiez le chemin du Registre >des paramètres Windows des > préférences > de stratégie de groupe de configuration > de l’ordinateur vers le certificat racine.
- Ajoutez le certificat racine à l’objet de stratégie de groupe comme indiqué dans la capture d’écran suivante.
Déployez le nouvel objet de stratégie de groupe sur les machines où le certificat racine doit être publié.
Toute autre méthode, outil ou solution de gestion des clients qui distribue les certificats d’autorité de certification racine en les écrivant dans l’emplacement HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates fonctionne.