Les services de certificats peuvent ne pas démarrer sur un ordinateur exécutant Windows Server 2003 ou Windows 2000

  • Article

Cet article fournit une solution à un problème où les services de certificats (CS) peuvent ne pas démarrer sur un ordinateur qui exécute Windows Server 2003 ou Windows 2000.

Applicabilité : Windows 10 - toutes les éditions, Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 842210

Symptômes

Sur un ordinateur exécutant Microsoft Windows Server 2003 ou Microsoft Windows 2000 Server, les services de certificats peuvent ne pas démarrer.

En outre, le message d’erreur suivant peut être enregistré dans le journal des applications dans observateur d'événements.

Cause

Avant le démarrage des services de certificats, il énumère toutes les clés et certificats qui ont été émis à l’autorité de certification, même si les clés et les certificats ont expiré. Les services de certificats ne démarrent pas si l’un de ces certificats a été supprimé du magasin de certificats personnel de l’ordinateur local.

Résolution

Pour résoudre ce problème, vérifiez que le nombre d’empreintes de certificat dans le Registre est égal au nombre de certificats qui ont été émis à l’autorité de certification. Si des certificats sont manquants, importez les certificats manquants dans le magasin de certificats personnel de l’ordinateur local. Une fois que vous avez importé les certificats manquants, utilisez la certutil -repairstore commande pour réparer le lien entre les certificats importés et le magasin de clés privé associé.

Pour ce faire, utilisez l’une des méthodes suivantes, en fonction de la version du système d’exploitation que votre ordinateur exécute.

Méthode 1 : Windows Server 2003

Pour résoudre ce problème sur un ordinateur Windows Server 2003, procédez comme suit.

Étape 1 : Rechercher les certificats manquants

Importante

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations, consultez Comment sauvegarder et restaurer le Registre dans Windows.

Les empreintes numériques de certificat indiquent tous les certificats qui ont été émis à cette autorité de certification. Chaque fois qu’un certificat est renouvelé, une nouvelle empreinte numérique de certificat est ajoutée à la liste CaCertHash dans le Registre. Le nombre d’entrées dans cette liste doit être égal au nombre de certificats émis à l’autorité de certification et répertoriés dans le magasin de certificats personnel de l’ordinateur local.

Pour rechercher les certificats manquants, procédez comme suit :

  1. Sélectionnez Démarrer, Exécuter, tapez regedit, puis sélectionnez OK.

  2. Recherchez et sélectionnez la sous-clé suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\**Your_Certificate_Authority_Name*

  3. Dans le volet droit, double-cliquez sur CaCertHash.

  4. Notez le nombre d’empreintes de certificat que contient la liste de données Value .

  5. Démarrez l’invite de commandes.

  6. Tapez la commande suivante, puis appuyez sur Entrée : certutil -store

    Comparez le nombre de certificats répertoriés dans le magasin de certificats personnel de l’ordinateur local au nombre d’empreintes de certificat répertoriées dans l’entrée de registre CaCertHash. Si les numéros sont différents, passez à l’Étape 2 : Importer les certificats manquants. Si les nombres sont identiques, passez à l’Étape 3 : Installer le pack d’outils d’administration Windows Server 2003.

Étape 2 : Importer les certificats manquants

  1. Sélectionnez Démarrer, pointez sur Tous les programmes, sur Outils d’administration, puis sélectionnez Certificats.

    Si Certificats n’apparaît pas dans la liste, procédez comme suit :

    1. Sélectionnez Démarrer, Exécuter, tapez mmc, puis sélectionnez OK.

    2. Dans le menu Fichier, sélectionnez Ajouter/Supprimer un composant logiciel enfichable.

    3. Sélectionnez Ajouter.

    4. Dans la liste Composant logiciel enfichable , sélectionnez Certificats, puis Ajouter.

      Si la boîte de dialogue enfichable Certificats s’affiche, sélectionnez Mon compte d’utilisateur, puis Terminer.

    5. Sélectionnez Fermer puis OK.

      Le répertoire Certificates est maintenant ajouté à Microsoft Management Console (MMC).

    6. Dans le menu Fichier , sélectionnez Enregistrer sous, tapez Certificats dans la zone Nom de fichier, puis sélectionnez Enregistrer.

      Pour ouvrir certificats à l’avenir, sélectionnez Démarrer, pointez sur Tous les programmes, sur Outils d’administration, puis sélectionnez Certificats.

  2. Développez Certificats, Personnel, cliquez avec le bouton droit sur Certificats, pointez sur Toutes les tâches, puis sélectionnez Importer.

  3. Sur la page Bienvenue, cliquez sur Suivant.

  4. Dans la page Fichier à importer , tapez le chemin complet du fichier de certificat que vous souhaitez importer dans la zone Nom de fichier , puis sélectionnez Suivant. Au lieu de cela, sélectionnez Parcourir, recherchez le fichier, puis sélectionnez Suivant.

  5. Si le fichier que vous souhaitez importer est un échange d’informations personnelles - PKCS #12 (*. PFX), vous êtes invité à entrer le mot de passe. Tapez le mot de passe, puis sélectionnez Suivant.

  6. Dans la page Magasin de certificats , sélectionnez Suivant.

  7. Dans la page Fin de l’Assistant Importation de certificat , sélectionnez Terminer.

Remarque

L’autorité de certification publie toujours ses certificats d’autorité de certification dans le %systemroot%\System32\CertSvc\CertEnroll dossier . Vous pouvez trouver les certificats manquants dans ce dossier.

Étape 3 : Installer le pack Outils d’administration Windows Server 2003

Après avoir importé les certificats, vous devez utiliser l’outil Certutil pour réparer la liaison entre les certificats importés et le magasin de clés privé associé. L’outil Certutil est inclus dans les outils de certificat de l’autorité de certification. Les outils de certificat de l’autorité de certification Windows Server 2003 se trouvent dans le pack Outils d’administration De Windows Server 2003. Si les outils de certificat d’autorité de certification ne sont pas installés sur votre ordinateur, installez-les maintenant.

Après avoir installé le pack d’outils d’administration Windows Server 2003, procédez comme suit :

  1. Démarrez l’invite de commandes.

  2. Tapez ce qui suit, puis appuyez sur Entrée :
    cd %systemroot%\system32\certsrv\certenroll

  3. Notez le certificat dans le dossier Certenroll qui ressemble à ce qui suit : Your_Server. Your_Domain.com_rootca.crt

  4. Tapez les commandes suivantes, puis appuyez sur Entrée après chaque commande : %systemroot%\system32\certutil -addstore my %systemroot%\system32\certsrv\certenroll\Your_Server.Your_Domain.com_rootca.crt%systemroot%\System32\certutil -dump %systemroot%\system32\certsrv\certenroll\Your_Server.Your_Domain.com_rootca.crtYour_Server.Votre_domaine.com_rootca.crt est le nom du certificat dans le dossier Certenroll que vous avez noté à l’étape 3.

  5. Dans la sortie de la dernière commande, près de la fin, vous verrez une ligne semblable à la suivante :
    Key ID Hash(sha1) : ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b
    Les données de hachage de l’ID de clé sont spécifiques à votre ordinateur. Notez cette ligne.

  6. Tapez la commande suivante, y compris les guillemets, puis appuyez sur Entrée :
    %systemroot%\system32\certutil -repairstore my « Key_Id_Hash_Data »

    Dans cette commande, Key_Id_Hash_Data est la ligne que vous avez notée à l’étape 4. Par exemple, tapez ce qui suit :
    %systemroot%\system32\certutil -repairstore my « ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b »

    Vous recevrez ensuite la sortie suivante :

    CertUtil : commande -repairstore terminée avec succès.

  7. Pour vérifier les certificats, tapez ce qui suit, puis appuyez sur Entrée :
    %systemroot%\system32\certutil -verifykeys Une fois cette commande exécutée, vous recevez la sortie suivante :

    CertUtil : commande -verifykeys terminée avec succès.

Étape 5 : Démarrer le service Services de certificats

  1. Sélectionnez Démarrer, pointez sur Outils d’administration, puis sélectionnez Services.
  2. Cliquez avec le bouton droit sur Services de certificats, puis sélectionnez Démarrer.

Méthode 2 : Windows 2000

Pour résoudre ce problème sur un ordinateur Windows 2000, procédez comme suit.

Étape 1 : Recherche de certificats manquants

Importante

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations, consultez Comment sauvegarder et restaurer le Registre dans Windows.

Les empreintes numériques de certificat indiquent tous les certificats qui ont été émis à cette autorité de certification. Chaque fois qu’un certificat est renouvelé, une nouvelle empreinte numérique de certificat est ajoutée à la liste CaCertHash dans le Registre. Le nombre d’entrées dans cette liste doit être égal au nombre de certificats émis à l’autorité de certification et répertoriés dans le magasin de certificats personnel de l’ordinateur local.

Pour rechercher les certificats manquants, procédez comme suit :

  1. Sélectionnez Démarrer, Exécuter, tapez regedit, puis sélectionnez OK.

  2. Recherchez et sélectionnez la sous-clé suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\**Your_Certificate_Authority_Name*

  3. Dans le volet droit, double-cliquez sur CaCertHash.

  4. Notez le nombre d’empreintes de certificat que contient la liste de données Value .

  5. Démarrez l’invite de commandes.

  6. Tapez ce qui suit, puis appuyez sur Entrée : certutil -store

Comparez le nombre de certificats répertoriés dans le magasin de certificats personnel de l’ordinateur local au nombre d’empreintes de certificat répertoriées dans l’entrée de registre CaCertHash. Si les numéros sont différents, passez à l’Étape 2 : Importer les certificats manquants. Si les nombres sont identiques, passez à l’Étape 3 : Installer le pack d’outils d’administration Windows Server 2003.

Étape 2 : Importation des certificats manquants

  1. Sélectionnez Démarrer, pointez sur Programmes, sur Outils d’administration, puis sélectionnez Certificats.

    Si Certificats n’apparaît pas dans la liste, procédez comme suit :

    1. Sélectionnez Démarrer, Exécuter, tapez mmc, puis sélectionnez OK.
    2. Dans le menu Console , sélectionnez Ajouter/supprimer un composant logiciel enfichable.
    3. Sélectionnez Ajouter
    4. Dans la liste Composant logiciel enfichable , sélectionnez Certificats, puis Ajouter.

    Si la boîte de dialogue enfichable Certificats s’affiche, sélectionnez Mon compte d’utilisateur, puis Terminer. 5. Sélectionnez Fermer. 6. Sélectionnez OK. 7. Le répertoire Certificates est maintenant ajouté à Microsoft Management Console (MMC). 8. Dans le menu Console , sélectionnez Enregistrer sous, tapez Certificats comme nom de fichier, puis sélectionnez Enregistrer.

    Pour ouvrir certificats à l’avenir, sélectionnez Démarrer, pointez sur Programmes, sur Outils d’administration, puis sélectionnez Certificats.

  2. Développez Certificats, Personnel, cliquez avec le bouton droit sur Certificats, pointez sur Toutes les tâches, puis sélectionnez Importer.

  3. Sur la page Bienvenue, cliquez sur Suivant.

  4. Dans la page Fichier à importer , tapez le chemin complet du fichier de certificat que vous souhaitez importer dans la zone Nom de fichier , puis sélectionnez Suivant. Au lieu de cela, sélectionnez Parcourir, recherchez le fichier, puis sélectionnez Suivant.

  5. Si le fichier que vous souhaitez importer est un échange d’informations personnelles - PKCS #12 (*. PFX), vous serez invité à entrer le mot de passe. Tapez le mot de passe, puis sélectionnez Suivant.

  6. Dans la page Magasin de certificats , sélectionnez Suivant.

  7. Dans la page Fin de l’Assistant Importation de certificat , sélectionnez Terminer.

Remarque

L’autorité de certification publie toujours ses certificats d’autorité de certification dans le %systemroot%\System32\CertSvc\CertEnroll dossier . Vous pouvez trouver les certificats manquants dans ce dossier.

Étape 3 : Installer les outils Windows Server 2003 Certutil

Après avoir importé les certificats, vous devez utiliser les outils de certificat de l’autorité de certification Windows Server 2003 pour réparer la liaison entre les certificats importés et le magasin de clés privé associé.

Les versions Windows Server 2003 de Certutil.exe et Certreq.exe sont incluses dans le pack Outils d’administration de Windows Server 2003. Pour installer les outils sur un ordinateur Windows 2000, vous devez d’abord installer le pack d’outils d’administration Windows Server 2003 sur un ordinateur exécutant Windows Server 2003 ou Microsoft Windows XP avec Service Pack 1 (SP1) ou un Service Pack ultérieur. Le pack d’outils d’administration Windows Server 2003 ne peut pas être installé directement sur un ordinateur Windows 2000.

Importante

Une fois que vous avez copié les outils de certificat de l’autorité de certification Windows Server 2003 sur l’ordinateur Windows 2000, deux versions de l’outil Certutil résident sur l’ordinateur Windows 2000. Ne supprimez pas l’outil Windows 2000 Certutil. Les autres programmes dépendent de la version Windows 2000 de cet outil. Par exemple, le composant logiciel enfichable MMC Certificats nécessite l’outil Windows 2000 Certutil. En outre, n’inscrivez pas les fichiers Certcli.dll et Certadm.dll Windows Server 2003 sur l’ordinateur Windows 2000.

Pour utiliser les outils de certificat de l’autorité de certification Windows Server 2003 sur un ordinateur Windows 2000, procédez comme suit :

  1. Télécharger le pack Outils d’administration Windows Server 2003

  2. Connectez-vous à un ordinateur exécutant Windows Server 2003 ou Windows XP avec SP1 ou avec un Service Pack ultérieur.

  3. Installez le pack Outils d’administration Windows Server 2003.

  4. Dans le pack d’outils d’administration Windows Server 2003, recherchez les fichiers suivants, puis copiez-les sur un support de stockage amovible, tel qu’un disque de 3,5 pouces :
    Certreq.exe
    Certutil.exe
    Certcli.dll
    Certadm.dll

  5. Connectez-vous à l’ordinateur Windows 2000 en tant qu’administrateur.

  6. Insérez le support de stockage amovible que vous avez utilisé à l’étape 4 dans le lecteur approprié de l’ordinateur Windows 2000.

  7. Démarrez l’invite de commandes.

  8. Créez un nouveau dossier, puis copiez les fichiers sur le support de stockage amovible dans le nouveau dossier. Pour ce faire, tapez les commandes suivantes, puis appuyez sur Entrée après chaque commande :
    Cd\
    md W2k3tool
    cd w2k3tool
    copy Removable_Media_Drive_Letter :\cert*

    Remarque

    Pour éviter les conflits avec les versions Windows 2000 de l’outil Certutil qui se trouve déjà sur l’ordinateur, n’incluez pas le dossier W2k3tool dans votre chemin de recherche système.

Une fois que vous avez copié les fichiers Outils de certificat de l’autorité de certification Windows Server 2003 sur l’ordinateur Windows 2000, procédez comme suit :

  1. Démarrez l’invite de commandes.

  2. Tapez ce qui suit, puis appuyez sur Entrée :
    cd %systemroot\system32\certsrv\certenroll

  3. Notez le certificat dans le dossier Certenroll qui ressemble à ce qui suit :
    Your_Server.Your_Domain.com_rootca.crt

  4. Tapez les commandes suivantes, puis appuyez sur Entrée après chaque commande :
    Root_Drive_Letter :\w2k3tool\certutil -addstore my %systemroot%\system32\certsrv\certenroll\ Your_Server.Your_Domain.com_rootca.crt
    Root_Drive_Letter :\w2k3tool\certutil -dump %systemroot%\system32\certsrv\certenroll\ Your_Server.Your_Domain.com_rootca.crt

    Root_Drive_Letter est la lettre du répertoire racine.

    Your_Server.Your_Domain.com_rootca.crt est le nom du certificat dans le dossier Certenroll que vous avez noté à l’étape 3.

  5. Dans la sortie de la dernière commande, près de la fin, vous verrez une ligne similaire à la suivante : Key ID Hash(sha1) : ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b
    Les données de hachage de l’ID de clé sont spécifiques à votre ordinateur. Notez cette ligne.

  6. Tapez la commande suivante, y compris les guillemets, puis appuyez sur Entrée :
    Root_Drive_Letter :\w2k3tool\certutil -repairstore my « Key_Id_Hash_Data »
    Dans cette commande, Key_Id_Hash_Data est la ligne que vous avez notée à l’étape 5. Par exemple, tapez ce qui suit :
    c :\w2k3tool\certutil -repairstore my « ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b »

    Une fois cette commande terminée, vous recevez la sortie suivante :

    CertUtil : commande -repairstore terminée avec succès.

  7. Pour vérifier les certificats, tapez la commande suivante, puis appuyez sur Entrée :
    Root_Drive_Letter :\w2k3tool\certutil -verifykeys

    Une fois cette commande exécutée, vous recevez la sortie suivante :

    CertUtil : commande -verifykeys terminée avec succès.

Étape 5 : Démarrage du service Certificate Services

  1. Sélectionnez Démarrer, pointez sur Outils d’administration, puis sélectionnez Services.
  2. Cliquez avec le bouton droit sur Services de certificats, puis sélectionnez Démarrer.

Plus d’informations

Vous devez désactiver et remplacer l’autorité de certification si l’une des conditions suivantes est remplie :

  • Vous ne pouvez pas localiser les certificats manquants.

  • Les certificats ne peuvent pas être réinstallés.

  • Impossible d’effectuer la certutil -repairstore commande, car les clés privées ont été supprimées. Pour désactiver et remplacer l’autorité de certification, procédez comme suit :

    1. Révoquez les certificats de l’autorité de certification qui a cessé de fonctionner correctement. Pour ce faire, procédez comme suit :

      1. Connectez-vous en tant qu’administrateur à l’ordinateur qui a émis les certificats que vous souhaitez révoquer.
      2. Sélectionnez Démarrer, pointez sur Programmes, sur Outils d’administration, puis sélectionnez Autorité de certification.
      3. Développez CA_Name, puis sélectionnez Certificats émis.
      4. Dans le volet droit, sélectionnez le certificat que vous souhaitez révoquer.
      5. Dans le menu Action , pointez sur Toutes les tâches, puis sélectionnez Révoquer le certificat.
      6. Dans la liste Code de raison, sélectionnez la raison de la révocation du certificat, puis sélectionnez Oui.

      Cela révoque tous les certificats émis par l’autorité de certification qui a cessé de fonctionner correctement.

    2. Publiez la liste de révocation de certificats (CRL) sur l’autorité de certification la plus élevée. Pour ce faire, procédez comme suit :

      1. Connectez-vous en tant qu’administrateur à l’ordinateur qui exécute l’autorité de certification la plus élevée suivante.
      2. Sélectionnez Démarrer, pointez sur Programmes, sur Outils d’administration, puis sélectionnez Autorité de certification.
      3. Développez CA_Name, puis sélectionnez Certificats révoqués.
      4. Dans le menu Action , pointez sur Toutes les tâches, puis sélectionnez Publier.
      5. Sélectionnez Oui pour remplacer la liste de révocation de certificats précédemment publiée.

    3. Si l’autorité de certification qui a cessé de fonctionner correctement a été publiée sur les services d’annuaire Active Directory, supprimez-la. Pour supprimer l’autorité de certification d’Active Directory, procédez comme suit :

      1. Démarrez l’invite de commandes.
      2. Tapez ce qui suit, puis appuyez sur Entrée :
        certutil -dsdel CA_Name

    4. Supprimez les services de certificats du serveur sur lequel l’autorité de certification a cessé de fonctionner correctement. Pour ce faire, procédez comme suit :

      1. Sélectionnez Démarrer, pointez sur Paramètres, puis sélectionnez Panneau de configuration.
      2. Double-cliquez sur Ajout/Suppression de programmes, puis sélectionnez Ajouter/Supprimer des composants Windows.
      3. Dans la liste Composants, cliquez pour décochez la zone Services de certificats case activée, sélectionnez Suivant, puis Terminer.

    5. Installez les services de certificats. Pour ce faire, procédez comme suit :

      1. Sélectionnez Ajouter/supprimer des composants Windows.
      2. Dans la liste Composants, sélectionnez la zone Services de certificats case activée, sélectionnez Suivant, puis Terminer.

    6. Tous les utilisateurs, ordinateurs ou services avec des certificats émis par l’autorité de certification qui a cessé de fonctionner correctement doivent s’inscrire aux certificats de la nouvelle autorité de certification.

Remarque

Si ce problème se produit sur l’autorité de certification racine de la hiérarchie d’infrastructure à clé publique (PKI) et si le problème ne peut pas être réparé, vous devrez remplacer l’ensemble de la hiérarchie PKI. Pour plus d’informations sur la suppression de la hiérarchie PKI, consultez Comment désactiver une autorité de certification d’entreprise Windows et supprimer tous les objets associés.