A tanúsítványszolgáltatás nem tudja ellenőrizni a visszavonási állapotot.
A hitelesítésszolgáltatók egyik fő feladata az ügyfelektől érkező tanúsítványkérelmek értékelése, és ha azok megfelelnek az előre meghatározott feltételeknek, a tanúsítványok kiállítása az ügyfeleknek. A tanúsítványigénylés sikerességéhez számos elemnek jelen kell lennie a kérés elküldése előtt, beleértve az érvényes hitelesítésszolgáltatói tanúsítvánnyal rendelkező hitelesítésszolgáltatót; a megfelelően konfigurált tanúsítványsablonokat, ügyfélfiókokat és tanúsítványkérelmeket; és módot a kérés az ügyfél által a hitelesítésszolgáltatónak történő elküldésére, érvényesítésére és a kiállított tanúsítvány telepítésére.
A visszavonási ellenőrzést akadályozó problémák kijavítása
A visszavonás ellenőrzése sikertelen, ha nem lehet minden tanúsítványt ellenőrizni a láncban. Ennek a megoldásához hajtsa végre a következő műveleteket:
Ellenőrizze a hitelesítésszolgáltató láncában található tanúsítványokat.
Azonosítsa és javítsa ki az erőforrásokkal kapcsolatos problémákat, amelyek megakadályozhatják a visszavonási ellenőrzést.
Engedélyezze a CryptoAPI 2.0 diagnosztikát a visszavonási ellenőrzést megakadályozó összetettebb problémák azonosítása és megoldása céljából.
Az eljárást akkor hajthatja végre, ha rendelkezik hitelesítésszolgáltató-kezelési engedéllyel, vagy delegálás útján megkapta a megfelelő jogosultságokat.
A hitelesítésszolgáltató tanúsítványláncának ellenőrzése
A hitelesítésszolgáltató tanúsítványláncának ellenőrzése:
Kattintson a Start gombra, írja be az mmc parancsot, majd nyomja le az ENTER billentyűt.
Ha megjelenik a Felhasználói fiókok felügyelete párbeszédpanel, erősítse meg, hogy valóban az abban megjelenített műveletet szeretné végrehajtani, majd kattintson a Folytatás gombra.
Kattintson a Fájl menü Beépülő modul hozzáadása/eltávolítása parancsára, kattintson a Tanúsítványok elemre, majd a Hozzáadás gombra.
Kattintson a Számítógépfiók elemre, majd kattintson a Tovább gombra.
Jelölje ki a hitelesítésszolgáltatót üzemeltető számítógépet, kattintson a Befejezés gombra, majd kattintson az OK gombra.
Válassza ki a tanúsítványláncban található hitelesítésszolgáltatói tanúsítványokat.
A Művelet menüben mutasson a Minden feladat menüpontra, majd a Tanúsítványexportáló varázsló elindításához kattintson az Exportálás parancsra. Mentse a tanúsítványokat .cer kiterjesztéssel.
Kattintson a Start menüre, írja be a cmd parancsot, majd nyomja le az ENTER billentyűt.
Minden hitelesítésszolgáltatói tanúsítvány esetében írja be a certutil -urlfetch -verify<CA-tanúsítvány.cer> parancsot, majd nyomja le az ENTER billentyűt.
Futtassa ismét ugyanezt a parancsot, hogy megkeresse a visszavont tanúsítványok listájában azt a hitelesítésszolgáltatót, amelynek ki kellett volna adni a tanúsítványt és annak láncát.
Hárítson el minden hibát, amelyet a parancssor kimenete jelez.
A műveleteket akkor hajthatja végre, ha a helyi Rendszergazdák csoport tagja, vagy delegálás révén megkapta a megfelelő jogosultságokat.
Azon erőforrásokkal kapcsolatos problémák azonosítása és javítása, amelyek megakadályozhatják a visszavonási ellenőrzést
Annak ellenőrzése, hogy a visszavonási ellenőrzés meghiúsulását hardverprobléma okozza-e:
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, mutasson a Felügyeleti eszközök elemre, és kattintson a Megbízhatóság- és teljesítményfigyelő lehetőségre a hitelesítésszolgáltató memória- és lemezhasználaténak ellenőrzéséhez.
Ha szükséges, növelje a Windows erőforrásait fizikai memória, virtuális memória vagy fizikai tároló hozzáadásával.
A CryptoAPI 2.0 diagnosztikai eszköz engedélyezése
A CryptoAPI 2.0 diagnosztikai eszköz engedélyezéséhez tegye a következőket:
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, mutasson a Felügyeleti eszközök elemre, és kattintson az Eseménynapló lehetőségre.
A konzolfában bontsa ki az Eseménynapló, az Alkalmazások és szolgáltatásnaplók, a Microsoft, a Windows és a CAPI2 csomópontot.
Kattintson a jobb gombbal a Működési elemre, majd kattintson a Naplózás engedélyezése parancsra.
Kattintson a Start menü Felügyeleti eszközök pontjára, majd kattintson a Szolgáltatások lehetőségre.
Kattintson a jobb gombbal az Active Directory Tanúsítványszolgáltatás elemre, majd kattintson az Újraindítás lehetőségre.
A tanúsítványok visszavonásával és állapotellenőrzésével kapcsolatos további információkat a http://go.microsoft.com/fwlink/?LinkID=124408 címen találhat.
A tanúsítványkérelem-feldolgozás megfelelő működésének ellenőrzése:
Kattintson a Start gombra, írja be a certmgr.msc parancsot, majd nyomja le az ENTER billentyűt.
Ha megjelenik a Felhasználói fiókok felügyelete párbeszédpanel, erősítse meg, hogy valóban az abban megjelenített műveletet szeretné végrehajtani, majd kattintson a Folytatás gombra.
A konzolfán kattintson duplán a Személyes elemre, majd kattintson a Tanúsítványok elemre.
A Tanúsítvány igénylése varázsló elindításához a Művelet menüben mutasson a Minden feladat menüpontra, majd kattintson az Új tanúsítvány kérése lehetőségre.
A varázsló segítségével hozzon létre és küldjön el egy tanúsítványkérést bármilyen típusú elérhető tanúsítványra vonatkozóan.
A Tanúsítványtelepítési eredmények részben ellenőrizze, hogy az igénylés sikeresen befejeződik-e és nincs-e jelentett hiba. A tanúsítvánnyal kapcsolatos további információkat a Részletek gombra kattintva is megtekintheti.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 10 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.10" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">10</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>