Les Services de certificats ne démarrent pas sur un ordinateur qui exécute Windows Server 2003 ou Windows 2000


Symptômes


Sur un ordinateur qui exécute Microsoft Windows Server 2003 ou Microsoft Windows 2000 Server, les Services de certificats ne peut pas démarrer.

En outre, le message d’erreur suivant peut être enregistré dans le journal applications dans l’Observateur d’événements :

Cause


Avant le démarrage de Services de certificats, il énumère toutes les clés et les certificats qui ont été émises à l’autorité de certification (CA), même si les clés et les certificats ayant expiré. Les Services de certificats ne démarrent pas si l’un de ces certificats a été supprimé depuis le magasin de certificats personnel.

Résolution


Pour résoudre ce problème, vérifiez que le nombre d’empreintes de certificats dans le Registre est égal au nombre de certificats qui ont été émises à l’autorité de certification. Si des certificats sont manquants, importer les certificats manquants dans le magasin de certificats personnel. Une fois que vous avez importé les certificats manquants, utilisez la commande certutil - repairstore pour réparer le lien entre les certificats d’importation et le magasin de clés privées associé.

Pour ce faire, utilisez une des méthodes suivantes, selon la version du système d’exploitation est installé sur votre ordinateur.

Méthode 1 : Windows Server 2003

Pour résoudre ce problème sur un ordinateur Windows Server 2003, procédez comme suit.

Étape 1 : Rechercher les certificats manquants

Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le Registre avant de le modifier. Vous pourriez alors restaurer le Registre si un problème survient. Pour plus d’informations sur la façon de sauvegarder et de restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
322756 comment sauvegarder et restaurer le Registre dans Windows


Les empreintes de certificats indiquent tous les certificats qui ont été émis pour cette autorité de certification. Chaque fois qu’un certificat est renouvelé, une nouvelle empreinte de certificat est ajoutée à la liste de CaCertHash dans le Registre. Le nombre d’entrées dans cette liste doit être égale le nombre de certificats qui sont émis à l’autorité de certification et qui sont répertoriés dans le magasin de certificats personnel.

Pour rechercher des certificats manquants, procédez comme suit :
  1. Cliquez sur Démarrer, sur exécuter, tapez regedit, puis cliquez sur OK.
  2. Recherchez et cliquez sur la sous-clé suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Your_Certificate_Authority_Name
  3. Dans le volet droit, double-cliquez sur CaCertHash.
  4. Notez le nombre d’empreintes de certificat contenant la liste de données de la valeur .
  5. Démarrez l’invite de commande.
  6. Tapez la commande suivante et appuyez sur ENTRÉE :
    certutil-stockage
    Comparez le nombre de certificats qui sont répertoriés dans le magasin de certificats personnels d’ordinateur local pour le nombre d’empreintes de certificats qui sont répertoriés dans l’entrée de Registre CaCertHash. Si les nombres sont différents, passez à le « étape 2 : importer les certificats manquants. » Si les nombres sont les mêmes, passez à le « étape 3 : installer le Windows Server 2003 Administration outils Pack. »

Étape 2 : Importer les certificats manquants

  1. Cliquez sur Démarrer, pointez sur Tous les programmes, pointez sur Outils d’administration, puis cliquez sur certificats.

    Si certificats n’apparaît pas dans la liste, procédez comme suit :
    1. Cliquez sur Démarrer, sur exécuter, tapez mmc, puis cliquez sur OK.
    2. Dans le menu fichier , cliquez sur Ajouter/supprimer un composant logiciel enfichable.
    3. Cliquez sur Ajouter.
    4. Dans la liste composants logiciels enfichables , cliquez sur certificats, puis cliquez sur Ajouter.

      Si la boîte de dialogue composant logiciel enfichable Certificats s’affiche, cliquez sur Mon compte d’utilisateur, puis cliquez sur Terminer.
    5. Cliquez sur Fermer, puis cliquez sur OK.

      Le répertoire des certificats est maintenant ajouté à MMC Microsoft Management Console ().
    6. Dans le menu fichier , cliquez sur Enregistrer sous, tapez certificats dans la zone nom de fichier , puis cliquez sur Enregistrer.

      Pour ouvrir des certificats dans le futur, cliquez sur Démarrer, pointez sur Tous les programmes, pointez sur Outils d’administration, puis cliquez sur certificats.
  2. Développez certificats, développez personnel, droit sur certificats, pointez sur Toutes les tâches, puis cliquez sur Importer.
  3. Dans la page Bienvenue , cliquez sur suivant.
  4. Dans la page fichier à importer , tapez le chemin d’accès complet du fichier de certificat que vous souhaitez importer dans la zone nom de fichier , puis cliquez sur suivant. Vous pouvez également cliquez sur Parcourir, recherchez le fichier et puis cliquez sur suivant.
  5. Si le fichier que vous voulez importer est un échange d’informations personnelles - PKCS #12 (*. Les fichiers PFX), vous demandera le mot de passe. Tapez le mot de passe, puis cliquez sur suivant.
  6. Dans la page Magasin de certificats , cliquez sur suivant.
  7. Dans la page fin de l’Assistant Importation de certificat , cliquez sur Terminer.
Remarque L’autorité de certification publie toujours ses certificats de l’autorité de certification dans le dossier %systemroot%\System32\CertSvc\CertEnroll. Vous pouvez trouver les certificats manquants dans ce dossier.

Étape 3 : Installer le Pack des outils Windows Server 2003 Administration

Après avoir importé les certificats, vous devez utiliser l’outil de Certutil pour réparer le lien entre les certificats d’importation et le magasin de clés privées associé. L’outil Certutil est inclus dans les outils de certificat d’autorité de certification. Les outils de certificat autorité de certification de Windows Server 2003 sont situés dans le Pack des outils d’Administration Windows Server 2003. Si les outils de certificat d’autorité de certification ne sont pas installés sur votre ordinateur, installez-les maintenant.

Pour télécharger le Pack des outils d’Administration Windows Server 2003, visitez le site Web de Microsoft à l’adresse suivante :

Étape 4 : Réparer les liens

Après avoir installé le Pack des outils d’Administration Windows Server 2003, procédez comme suit :
  1. Démarrez l’invite de commande.
  2. Tapez la commande suivante et appuyez sur ENTRÉE :
    CD %systemroot%\system32\certsrv\certenroll
  3. Prenez note du certificat dans le répertoire CertEnroll qui ressemble à ce qui suit :
    Your_Server.Your_Domain.com_rootca.crt
  4. Tapez les commandes suivantes et appuyez sur ENTRÉE après chaque commande :
    %SystemRoot%\system32\certutil - addstore mon %systemroot%\system32\certsrv\certenroll\votre_serveur. Votre_domaine. com_rootca.crt
    %SystemRoot%\System32\certutil-dump %systemroot%\system32\certsrv\certenroll\votre_serveur. Votre_domaine. com_rootca.crt
    Votre_serveur. Votre_domaine. com_rootca.crt est le nom du certificat dans le répertoire CertEnroll que vous avez noté à l’étape 3.
  5. Dans la sortie de la dernière commande, vers la fin, vous verrez une ligne semblable à la suivante :
    Id clé hachage (SHA1) : ea c7 7D 7e e8 cd 84 9 b e8 aa 71 6 d f4 b7 e5 d9 09 b6 32 1 b
    Les données de hachage de clé Id sont spécifiques à votre ordinateur. Prenez note de cette ligne.
  6. Tapez la commande suivante, y compris les guillemets et appuyez sur ENTRÉE :
    Mon «Key_Id_Hash_Data» de %systemroot%\system32\certutil - repairstore
    Dans cette commande, Key_Id_Hash_Data est la ligne que vous avez noté à l’étape 4. Par exemple, tapez ce qui suit :
    %SystemRoot%\system32\certutil - repairstore mon «ea c7 7D 7e e8 cd 84 9 b e8 aa 71 6 d f4 b7 e5 d9 09 b6 32 1 b»
    Vous recevrez ensuite la sortie suivante :
    CertUtil : - repairstore commande est terminée.
  7. Pour vérifier les certificats, tapez ce qui suit et appuyez sur ENTRÉE :
    %SystemRoot%\system32\certutil - verifykeys
    Après l’exécution de cette commande, vous recevez la sortie suivante :
    CertUtil : - verifykeys commande a réussi.

Étape 5 : Démarrez le service Services de certificats

  1. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Services.
  2. Cliquez sur Services de certificats, puis cliquez sur Démarrer.

Méthode 2 : Windows 2000

Pour résoudre ce problème sur un ordinateur fonctionnant sous Windows 2000, procédez comme suit.

Étape 1 : Rechercher les certificats manquants

Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le Registre avant de le modifier. Vous pourriez alors restaurer le Registre si un problème survient. Pour plus d’informations sur la façon de sauvegarder et de restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
322756 comment sauvegarder et restaurer le Registre dans Windows


Les empreintes de certificats indiquent tous les certificats qui ont été émis pour cette autorité de certification. Chaque fois qu’un certificat est renouvelé, une nouvelle empreinte de certificat est ajoutée à la liste de CaCertHash dans le Registre. Le nombre d’entrées dans cette liste doit être égale le nombre de certificats qui sont émis à l’autorité de certification et qui sont répertoriés dans le magasin de certificats personnel.

Pour rechercher des certificats manquants, procédez comme suit :
  1. Cliquez sur Démarrer, sur exécuter, tapez regedit, puis cliquez sur OK.
  2. Recherchez et cliquez sur la sous-clé suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Your_Certificate_Authority_Name
  3. Dans le volet droit, double-cliquez sur CaCertHash.
  4. Notez le nombre d’empreintes de certificat contenant la liste de données de la valeur .
  5. Démarrez l’invite de commande.
  6. Tapez la commande suivante et appuyez sur ENTRÉE :
    certutil-stockage
    Comparez le nombre de certificats qui sont répertoriés dans le magasin de certificats personnels d’ordinateur local pour le nombre d’empreintes de certificats qui sont répertoriés dans l’entrée de Registre CaCertHash. Si les nombres sont différents, passez à le « étape 2 : importer les certificats manquants. » Si les nombres sont les mêmes, passez à le « étape 3 : installer le Windows Server 2003 Administration outils Pack. »

Étape 2 : Importer les certificats manquants

  1. Cliquez sur Démarrer, pointez sur programmes, pointez sur Outils d’administration, puis cliquez sur certificats.

    Si certificats n’apparaît pas dans la liste, procédez comme suit :
    1. Cliquez sur Démarrer, sur exécuter, tapez mmc, puis cliquez sur OK.
    2. Dans le menu de la Console , cliquez sur Ajouter/supprimer un composant logiciel enfichable.
    3. Cliquez sur Ajouter
    4. Dans la liste composants logiciels enfichables , cliquez sur certificats, puis cliquez sur Ajouter.

      Si la boîte de dialogue composant logiciel enfichable Certificats s’affiche, cliquez sur Mon compte d’utilisateur, puis cliquez sur Terminer.
    5. Cliquez sur Fermer.
    6. Cliquez sur OK.
    7. Le répertoire des certificats est maintenant ajouté à MMC Microsoft Management Console ().
    8. Dans le menu de la Console , cliquez sur Enregistrer sous, tapez certificats comme nom de fichier, puis cliquez sur Enregistrer.

      Pour ouvrir des certificats dans le futur, cliquez sur Démarrer, pointez sur programmes, pointez sur Outils d’administration, puis cliquez sur certificats.
  2. Développez certificats, développez personnel, droit sur certificats, pointez sur Toutes les tâches, puis cliquez sur Importer.
  3. Dans la page Bienvenue , cliquez sur suivant.
  4. Dans la page fichier à importer , tapez le chemin d’accès complet du fichier de certificat que vous souhaitez importer dans la zone nom de fichier , puis cliquez sur suivant. Vous pouvez également cliquez sur Parcourir, recherchez le fichier et puis cliquez sur suivant.
  5. Si le fichier que vous voulez importer est un échange d’informations personnelles - PKCS #12 (*. (PFX), vous demandera le mot de passe. Tapez le mot de passe, puis cliquez sur suivant.
  6. Dans la page Magasin de certificats , cliquez sur suivant.
  7. Dans la page fin de l’Assistant Importation de certificat , cliquez sur Terminer.
Remarque L’autorité de certification publie toujours ses certificats de l’autorité de certification dans le dossier %systemroot%\System32\CertSvc\CertEnroll. Vous pouvez trouver les certificats manquants dans ce dossier.

Étape 3 : Installer les outils de Windows Server 2003 Certutil

Après avoir importé les certificats, vous devez utiliser les outils de certificat autorité de certification de Windows Server 2003 pour réparer le lien entre les certificats d’importation et le magasin de clés privées associé.

Les versions de Windows Server 2003 de Certutil.exe et Certreq.exe sont incluses dans le Pack des outils d’Administration Windows Server 2003. Pour installer les outils sur un ordinateur fonctionnant sous Windows 2000, vous devez d’abord installer le Pack des outils d’Administration Windows Server 2003 sur un ordinateur qui exécute Windows Server 2003 ou Microsoft Windows XP avec Service Pack 1 (SP1) ou service pack ultérieur. Le Pack des outils d’Administration Windows Server 2003 ne peut pas être installé directement sur un ordinateur fonctionnant sous Windows 2000.

Important Après avoir copié les outils de certificat autorité de certification de Windows Server 2003 sur l’ordinateur Windows 2000, les deux versions de l’outil Certutil doit résider sur l’ordinateur Windows 2000. Ne supprimez pas l’outil Windows 2000 Certutil. Autres programmes dépendent de la version Windows 2000 de cet outil. Par exemple, le composant logiciel enfichable MMC certificats requiert l’outil Windows 2000 Certutil. En outre, n’inscrivez pas le Windows Server 2003 Certcli.dll et Certadm.dll des fichiers sur l’ordinateur Windows 2000.

Pour utiliser les outils de certificat autorité de certification de Windows Server 2003 sur un ordinateur fonctionnant sous Windows 2000, procédez comme suit :
  1. Téléchargez le Pack des outils d’Administration Windows Server 2003. Pour ce faire, visitez le site Web de Microsoft à l'adresse suivante :
  2. Ouvrez une session sur un ordinateur qui exécute Windows Server 2003 ou Windows XP avec SP1 ou avec un service pack ultérieur.
  3. Installez le Pack des outils d’Administration Windows Server 2003.
  4. Dans Windows Server 2003 Administration Tools Pack, recherchez les fichiers suivants et puis les copier sur un support de stockage amovible, comme une disquette 3,5 pouces :
    Certreq.exe
    Certutil.exe
    Certcli.dll
    Certadm.dll
  5. Ouvrez une session sur l’ordinateur Windows 2000 en tant qu’administrateur.
  6. Insérez le support de stockage amovible que vous avez utilisé à l’étape 4 dans le lecteur approprié de l’ordinateur Windows 2000.
  7. Démarrez l’invite de commande.
  8. Créer un nouveau dossier, puis copiez les fichiers sur le support de stockage amovible vers le nouveau dossier. Pour ce faire, tapez les commandes suivantes et appuyez sur ENTRÉE après chaque commande :
    cd\
    MD W2k3tool
    CD w2k3tool
    Copiez Removable_Media_Drive_Letter: \cert*
    Remarque Pour éviter les conflits avec les versions de Windows 2000 de l’outil de Certutil qui est déjà sur l’ordinateur, n’incluez pas le dossier W2k3tool dans le chemin de recherche de système.

Étape 4 : Réparer les liens

Après avoir copié les fichiers d’outils de certificat autorité de certification Windows Server 2003 sur l’ordinateur fonctionnant sous Windows 2000, procédez comme suit :
  1. Démarrez l’invite de commande.
  2. Tapez la commande suivante et appuyez sur ENTRÉE :
    CD %systemroot\system32\certsrv\certenroll
  3. Prenez note du certificat dans le répertoire CertEnroll qui ressemble à ce qui suit : votre_serveur. Votre_domaine. com_rootca.crt
  4. Tapez les commandes suivantes et appuyez sur ENTRÉE après chaque commande :
    Root_Drive_Letter: \w2k3tool\certutil - addstore mon %systemroot%\system32\certsrv\certenroll\votre_serveur. Votre_domaine. com_rootca.crt
    Root_Drive_Letter: \w2k3tool\certutil-dump %systemroot%\system32\certsrv\certenroll\votre_serveur. Votre_domaine. com_rootca.crt
    Root_Drive_Letter est la lettre du répertoire racine.

    Votre_serveur. Votre_domaine. com_rootca.crt est le nom du certificat dans le répertoire CertEnroll que vous avez noté à l’étape 3.
  5. Dans la sortie de la dernière commande, vers la fin, vous verrez une ligne semblable à la suivante :
    Id clé hachage (SHA1) : ea c7 7D 7e e8 cd 84 9 b e8 aa 71 6 d f4 b7 e5 d9 09 b6 32 1 b
    Les données de hachage de clé Id sont spécifiques à votre ordinateur. Prenez note de cette ligne.
  6. Tapez la commande suivante, y compris les guillemets et appuyez sur ENTRÉE :
    Root_Drive_Letter: \w2k3tool\certutil - repairstore mon «Key_Id_Hash_Data»
    Dans cette commande, Key_Id_Hash_Data est la ligne que vous avez noté à l’étape 5. Par exemple, tapez ce qui suit :
    c:\w2k3tool\certutil - repairstore mon «ea c7 7D 7e e8 cd 84 9 b e8 aa 71 6 d f4 b7 e5 d9 09 b6 32 1 b»
    Après avoir terminé cette commande, vous recevez la sortie suivante :
    CertUtil : - repairstore commande est terminée.
  7. Pour vérifier les certificats, tapez la commande suivante et appuyez sur ENTRÉE :
    Root_Drive_Letter: \w2k3tool\certutil - verifykeys
    Après l’exécution de cette commande, vous recevez la sortie suivante :
    CertUtil : - verifykeys commande a réussi.

Étape 5 : Démarrez le service Services de certificats

  1. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Services.
  2. Cliquez sur Services de certificats, puis cliquez sur Démarrer.

Plus d'informations


Vous devez retirer et remplacer l’autorité de certification si une des conditions suivantes est remplie :
  • Vous ne trouvez pas les certificats manquants.
  • Les certificats ne peuvent pas être réinstallées.
  • La commande certutil - repairstore ne peut pas être effectuée car les clés privées ont été supprimées.
Pour retirer et remplacer l’autorité de certification, procédez comme suit :
  1. Révoquer les certificats de l’autorité de certification qui a cessé de fonctionner correctement. Pour ce faire, procédez comme suit :
    1. Ouvrez une session en tant qu’administrateur sur l’ordinateur qui a émis les certificats que vous souhaitez révoquer.
    2. Cliquez sur Démarrer, pointez sur programmes, pointez sur Outils d’administration, puis cliquez sur Autorité de Certification.
    3. Développez NOM_AUTORITÉ_DE_CERTIFICATION, puis cliquez sur Certificats délivrés.
    4. Dans le volet droit, cliquez sur le certificat que vous souhaitez révoquer.
    5. Dans le menu Action , pointez sur Toutes les tâches, puis cliquez sur Révoquer un certificat.
    6. Dans la liste code motif , cliquez sur le motif de révocation du certificat, puis cliquez sur Oui.
    Cela va révoquer tous les certificats qui ont été émis par l’autorité de certification qui a cessé de fonctionner correctement.
  2. Publier la liste de révocation de certificats (CRL) sur l’autorité de certification le plus élevé suivant. Pour ce faire, procédez comme suit :
    1. Ouvrez une session en tant qu’administrateur sur l’ordinateur qui exécute l’autorité de certification le plus élevée suivante.
    2. Cliquez sur Démarrer, pointez sur programmes, pointez sur Outils d’administration, puis cliquez sur Autorité de Certification.
    3. Développez NOM_AUTORITÉ_DE_CERTIFICATION, puis cliquez sur Certificats révoqués.
    4. Dans le menu Action , pointez sur Toutes les tâches, puis cliquez sur Publier.
    5. Cliquez sur Oui pour remplacer la liste de révocation publiée précédemment.
  3. Si l’autorité de certification qui a cessé de fonctionner correctement a été publiée dans les services d’annuaire Active Directory, le supprimer. Pour supprimer l’autorité de certification d’Active Directory, procédez comme suit :
    1. Démarrez l’invite de commande.
    2. Tapez la commande suivante et appuyez sur ENTRÉE :
      certutil - dsdel CA_Name
  4. Supprimez les Services de certificats à partir du serveur où l’autorité de certification a cessé de fonctionner correctement. Pour ce faire, procédez comme suit :
    1. Cliquez sur Démarrer, pointez sur paramètres, puis cliquez sur Panneau de configuration.
    2. Double-cliquez sur Ajout/Suppression de programmes, puis cliquez sur Ajouter/supprimer des composants Windows.
    3. Dans la liste composants , cliquez sur Effacer la case à cocher Services de certificats et cliquez sur suivant, puis cliquez sur Terminer.
  5. Installer les Services de certificats. Pour ce faire, procédez comme suit :
    1. Cliquez sur Ajouter/supprimer des composants Windows.
    2. Dans la liste composants , cliquez sur pour sélectionner la case à cocher Services de certificats , cliquez sur suivant, puis cliquez sur Terminer.
  6. Tous les utilisateurs, les ordinateurs ou les services de certificats ont été émis par l’autorité de certification qui a cessé de fonctionner correctement doivent s’inscrire pour des certificats à partir de la nouvelle autorité de certification.
Remarque Si ce problème se produit sur l’autorité de certification racine de la hiérarchie de l’infrastructure à clé publique (PKI) et si le problème ne peut pas être réparé, vous devrez remplacer toute la hiérarchie d’infrastructure à clé publique. Pour plus d’informations sur la suppression de la hiérarchie de l’infrastructure de clés publiques, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

889250 comment désactiver une autorité de certification d’entreprise Windows et supprimer tous les objets associés à partir de Windows Server 2003 et Windows 2000 Server