Windows Server 2019 ADCS — Impossible d'installer le certificat de l'autorité de certification subordonnée

Windows Server & IT Pro Windows Server 2022 & antérieur
1

Je suis en train de mettre en place une hiérarchie PKI Active Directory Certificate Services à deux niveaux avec une autorité de certification racine autonome hors ligne (Server 2019) et une autorité de certification subordonnée d’entreprise en ligne (également Server 2019).

J’ai configuré avec succès l’autorité de certification racine hors ligne (définition des extensions CDP / AIA) et le service ADCS démarre sans problème. J’ai ensuite configuré ADCS sur l’autorité de certification subordonnée d’entreprise et un fichier .req est créé dans « C:\ ». J’ai copié le fichier .req sur l’autorité de certification racine, émis le certificat, exporté le *.p7b et ramené sur la CA subordonnée. Lorsque je sélectionne « Installer le certificat CA », j’obtiens l’erreur suivante :

« Une erreur a été détectée lors de la configuration d’Active Directory Certificate Services. L’assistant de configuration d’Active Directory Certificate Services devra être réexécuté pour terminer la configuration. Le nouveau certificat d’autorité de certification ne peut pas être installé car l’extension de version CA est incorrecte. Le fichier de requête le plus récemment généré doit être utilisé pour obtenir le nouveau certificat : C:\CA(1).req Les données ne sont pas valides. 0x800x7000d (WIN32: 13 ERROR_INVALID_DATA) »

Je suis connecté à la CA subordonnée d’entreprise en tant qu’administrateur de domaine avec des droits d’administrateur d’entreprise ajoutés à mon compte DA. J’ai essayé de réinstaller ADCS sur la CA subordonnée, de créer un nouveau .req, de le resigner. Je suis sûr à 100 % que j’utilise le bon fichier .req lors de la soumission à la CA racine et que j’exporte également le bon certificat de CA subordonnée.

J’ai exécuté « certutil -dump *.req » sur le fichier de demande de certificat original, vérifié que l’extension de version CA est V0.0. Puis j’ai exécuté la même commande sur le certificat de CA subordonnée signé exporté depuis la CA racine et il a la même extension de version CA exacte.

Toute aide serait grandement appréciée. Faites-moi savoir si des informations supplémentaires seraient utiles.

2

J’ai trouvé la réponse à mes problèmes. Je ne suis pas sûr si c’est spécifique à notre domaine AD, mais j’ai dû créer un compte unique avec UNIQUEMENT le groupe administrateur d’entreprise ajouté. Puis j’ai suivi le même processus et j’ai pu installer le certificat CA.

Pour résumer :

Si vous avez le même problème que celui indiqué ci-dessus, essayez de créer un compte unique avec des privilèges d’administrateur d’entreprise et n’utilisez que ce compte unique lors de l’installation / la configuration d’ADCS sur la CA subordonnée d’entreprise.