ID d'événement Windows 4868 – Sécurité : Demande refusée par les services de certificats

Commencez par examiner les détails complets de l'ID d'événement 4868 pour comprendre la raison spécifique du refus et le contexte.

1. Ouvrez Observateur d'événements sur le serveur de l'autorité de certification
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 4868 en utilisant l'option de filtre
4. Double-cliquez sur l'événement 4868 le plus récent pour voir les détails complets
5. Enregistrez les informations clés suivantes de l'événement :
   • Nom du sujet demandé
   • Nom du modèle de certificat
   • Compte utilisateur demandeur
   • Code de raison du refus
   • Nom et serveur de l'AC
6. Utilisez PowerShell pour extraire plusieurs événements pour l'analyse des modèles :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4868} -MaxEvents 50 | Select-Object TimeCreated, @{Name='User';Expression={$_.Properties[1].Value}}, @{Name='Template';Expression={$_.Properties[4].Value}}, @{Name='Reason';Expression={$_.Properties[6].Value}} | Format-Table -AutoSize

Cette méthode offre une visibilité immédiate sur les modèles de refus de certificats et aide à identifier si les problèmes sont des incidents isolés ou des problèmes systémiques.

Vérifiez les paramètres de sécurité du modèle de certificat pour vous assurer que les autorisations appropriées sont configurées pour les utilisateurs ou ordinateurs demandeurs.

1. Ouvrez la console de gestion de l'Autorité de Certification sur le serveur CA
2. Développez le nom de l'AC et cliquez sur Modèles de Certificat
3. Cliquez avec le bouton droit sur le modèle mentionné dans l'ID d'événement 4868 et sélectionnez Propriétés
4. Cliquez sur l'onglet Sécurité pour examiner les autorisations
5. Vérifiez que le compte utilisateur ou ordinateur demandeur dispose des autorisations appropriées :
   • Lire - Requis pour toutes les demandes de certificat
   • Inscription - Requis pour l'inscription standard des certificats
   • Inscription automatique - Requis pour les scénarios d'inscription automatique
6. Utilisez PowerShell pour auditer les autorisations des modèles sur plusieurs modèles :

Import-Module ActiveDirectory
$Templates = Get-ADObject -Filter {objectClass -eq 'pKICertificateTemplate'} -SearchBase "CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,$((Get-ADDomain).DistinguishedName)"
foreach ($Template in $Templates) {
    $ACL = Get-ACL "AD:$($Template.DistinguishedName)"
    Write-Host "Template: $($Template.Name)"
    $ACL.Access | Where-Object {$_.IdentityReference -like "*Domain Users*" -or $_.IdentityReference -like "*Authenticated Users*"} | Format-Table IdentityReference, ActiveDirectoryRights, AccessControlType
}

Ajoutez l'utilisateur demandeur ou le groupe de sécurité approprié aux autorisations du modèle si l'accès est légitimement requis.

Examinez les paramètres du modèle de certificat pour identifier les problèmes de configuration pouvant entraîner des refus de demande.

1. Dans la console Autorité de Certification, cliquez avec le bouton droit sur le modèle problématique et sélectionnez Propriétés
2. Examinez l'onglet Général pour la période de validité et les paramètres de renouvellement
3. Vérifiez l'onglet Gestion des demandes pour:
   • Paramètres de finalité (Chiffrement, Signature, etc.)
   • Exigences d'utilisation des clés
   • Paramètres de taille minimale des clés
   • Exigences du fournisseur cryptographique
4. Examinez l'onglet Nom du sujet pour les restrictions de nom de sujet
5. Examinez l'onglet Extensions pour les paramètres d'utilisation avancée des clés et de politique d'application
6. Utilisez PowerShell pour exporter la configuration du modèle pour analyse :

$TemplateName = "WebServer"  # Remplacez par le nom de votre modèle
$Template = Get-ADObject -Filter {Name -eq $TemplateName -and objectClass -eq 'pKICertificateTemplate'} -Properties *
$Template | Select-Object Name, DisplayName, @{Name='ValidityPeriod';Expression={$_.pKIDefaultKeySpec}}, @{Name='KeyUsage';Expression={$_.pKIKeyUsage}}, @{Name='EKU';Expression={$_.pKIExtendedKeyUsage}} | Format-List

Examinez les politiques de l'Autorité de Certification et la santé de la base de données pour identifier les problèmes au niveau du système causant des refus de certificats.

1. Vérifiez les paramètres de politique de l'AC en utilisant la console de l'Autorité de Certification:
   • Cliquez avec le bouton droit sur le nom de l'AC et sélectionnez Propriétés
   • Examinez les paramètres de l'onglet Module de Politique
   • Vérifiez la configuration du Module de Sortie
2. Vérifiez la connectivité et la santé de la base de données de l'AC :

# Vérifiez l'état du service AC
Get-Service -Name CertSvc | Format-List Name, Status, StartType

# Vérifiez l'intégrité de la base de données AC
certutil -v -db

# Vérifiez la configuration de l'AC
certutil -cainfo

# Examinez les transactions récentes de la base de données AC
certutil -view -restrict "RequestId>=$((Get-Date).AddDays(-1).ToString('yyyy-MM-dd'))" csv > CARequests.csv

Get-WinEvent -FilterHashtable @{LogName='Application'; ProviderName='Microsoft-Windows-CertificationAuthority'} -MaxEvents 100 | Where-Object {$_.LevelDisplayName -eq 'Error' -or $_.LevelDisplayName -eq 'Warning'} | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

# Examinez les paramètres de politique de l'AC
Get-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\*" | Select-Object PSChildName, ValidityPeriod, ValidityPeriodUnits

Implémentez une surveillance complète de l'infrastructure à clé publique (PKI) et utilisez des techniques de dépannage avancées pour des scénarios complexes de refus de certificat.

1. Activez la journalisation détaillée de l'autorité de certification (CA) pour un dépannage amélioré :

# Activer la journalisation de débogage de la CA
certutil -setreg ca\Debug 0xffffffe3
Restart-Service CertSvc

# Configurer la CA pour journaliser toutes les opérations de certificat
certutil -setreg ca\AuditFilter 127

# Créer une tâche planifiée pour surveiller les refus de certificat
$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-Command Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4868; StartTime=(Get-Date).AddHours(-1)} | Export-Csv C:\Logs\CertDenials.csv -Append"
$Trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Hours 1)
Register-ScheduledTask -TaskName "Monitor-CertificateDenials" -Action $Action -Trigger $Trigger

# Analyser les modèles de refus par modèle et utilisateur
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4868; StartTime=(Get-Date).AddDays(-7)}
$Analysis = $Events | ForEach-Object {
    [PSCustomObject]@{
        Time = $_.TimeCreated
        User = $_.Properties[1].Value
        Template = $_.Properties[4].Value
        Reason = $_.Properties[6].Value
        CA = $_.Properties[7].Value
    }
}
$Analysis | Group-Object Template | Sort-Object Count -Descending | Format-Table Name, Count

# Tester la demande de certificat à l'aide de certreq
$TestINF = @"
[NewRequest]
Subject = "CN=TestCert,OU=IT,O=Company,C=US"
KeyLength = 2048
KeySpec = 1
MachineKeySet = TRUE
RequestType = PKCS10
[RequestAttributes]
CertificateTemplate = WebServer
"@
$TestINF | Out-File -FilePath C:\temp\test.inf
certreq -new C:\temp\test.inf C:\temp\test.req
certreq -submit -config "CA-Server\CA-Name" C:\temp\test.req C:\temp\test.cer