A tanúsítványszolgáltatás nem tudott létrehozni egy kereszttanúsítványt.
Egy legfelső szintű hitelesítésszolgáltatói tanúsítvány megújításakor az eredeti legfelső szintű tanúsítvány és a megújított legfelső szintű tanúsítvány is fontos marad a nyilvánoskulcs-hierarchiában. Az eredeti legfelső szintű hitelesítésszolgáltatói tanúsítvány marad a hierarchia megbízhatóságának végső alapja, és segít érvényesíteni az összes tanúsítvány tanúsítványláncait, amelyek az eredeti hierarchia alatt lettek kiállítva. A megújított legfelső szintű hitelesítésszolgáltatói tanúsítvány biztosítja az összes olyan tanúsítvány megbízhatóságának alapját, amelyet a megújítás dátuma után adtak ki a hierarchiában
Ilyen helyzetek támogatásához a rendszer egy hitelesítésszolgáltatói kereszttanúsítvány-párt is létrehoz az eredeti és a megújított legfelső szintű tanúsítvány megbízhatósági kapcsolatának létrehozása céljából:
Az első kereszttanúsítvány ellenőrzi, hogy az eredeti legfelső szintű hitelesítésszolgáltatói tanúsítvány megbízik-e a megújított hitelesítésszolgáltatói tanúsítványban.
Az második kereszttanúsítvány ellenőrzi, hogy a megújított hitelesítésszolgáltatói tanúsítvány megbízik-e az eredeti legfelső szintű hitelesítésszolgáltatói tanúsítványban.
A különálló hitelesítésszolgáltatók önaláírt kereszttanúsítványokat hoznak létre a hitelesítésszolgáltatói kulcsok módosításakor. A rendszer minden kulcsváltáshoz létrehoz egy kereszttanúsítványt arra az időszakra, ahol a legfelső szintű tanúsítványok élettartama átfedésben van.
.
Legfelső szintű hitelesítésszolgáltatói tanúsítvány új kulccsal történő megújításakor a hitelesítésszolgáltató automatikusan létrehoz kereszttanúsítványokat a régi és az új hitelesítésszolgáltatói tanúsítványok között. Ha titkosítási hiba történt a kereszttanúsítványok aláírása közben, lehet, hogy a hiba megoldható a bővítmény ütközésének feloldásával. Ellenkező esetben engedélyezze a CryptoAPI 2.0 diagnosztikai eszköz számára további hibaelhárítási információ gyűjtését.
A műveleteket akkor hajthatja végre, ha rendelkezik hitelesítésszolgáltató-kezelési engedéllyel, vagy delegálás útján megkapta a megfelelő jogosultságokat.
Bővítményütközés feloldása
Bővítményütközés feloldásához hajtsa végre a következő műveleteket:
Kattintson a Start gombra, írja be az mmc parancsot, majd nyomja le az ENTER billentyűt.
Ha megjelenik a Felhasználói fiókok felügyelete párbeszédpanel, erősítse meg, hogy valóban az abban megjelenített műveletet szeretné végrehajtani, majd kattintson a Folytatás gombra.
Kattintson a Fájl menü Beépülő modul hozzáadása/eltávolítása parancsára, kattintson a Tanúsítványok elemre, majd a Hozzáadás gombra.
Kattintson a Számítógépfiók elemre, majd kattintson a Tovább gombra.
Jelölje ki a hitelesítésszolgáltatót üzemeltető számítógépet, kattintson a Befejezés gombra, majd kattintson az OK gombra.
Kattintson a Részletek fülre, és kattintson a Megjelenítés: csak bővítmények lehetőségre.
Kattintson duplán az előző hitelesítésszolgáltatói tanúsítványra, és tekintse át a tanúsítványhoz konfigurált bővítményeket.
Hasonlítsa össze a legújabb és az előző hitelesítésszolgáltatói tanúsítványban található bővítményeket.
Javítson ki minden eltérést a bővítmények között a tanúsítványkérelem újrakonfigurálásával és egy új tanúsítványkérelem elküldésével.
Megjegyzés: Az egyéni tanúsítványkérelmek konfigurálásával kapcsolatos további információkat a következő cikkben találhat: „Speciális tanúsítványigénylés és -kezelés” ( http://go.microsoft.com/fwlink/?LinkID=74577).
A CryptoAPI 2.0 diagnosztikai eszköz engedélyezése
A CryptoAPI 2.0 diagnosztikai eszköz engedélyezéséhez tegye a következőket:
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, mutasson a Felügyeleti eszközök elemre, és kattintson az Eseménynapló lehetőségre.
A konzolfában bontsa ki az Eseménynapló, az Alkalmazások és szolgáltatásnaplók, a Microsoft, a Windows és a CAPI2 csomópontot.
Kattintson a jobb gombbal a Működési elemre, majd kattintson a Naplózás engedélyezése parancsra.
Kattintson a Start menü Felügyeleti eszközök pontjára, majd kattintson a Szolgáltatások lehetőségre.
Kattintson a jobb gombbal az Active Directory Tanúsítványszolgáltatás elemre, majd kattintson az Újraindítás lehetőségre.
Keresse meg a hitelesítésszolgáltatói tanúsítvány érvényesítési vagy láncolási hibáit. Hárítsa el a hibákat, majd indítsa újra a hitelesítésszolgáltatót.
Ha a bővítmények helyesek és a hitelesítésszolgáltatói tanúsítványok ellenőrzése és a lánc megfelelő, a hiányzó hitelesítésszolgáltatói kereszttanúsítványokat a rendszer automatikusan létrehozza a hitelesítésszolgáltató újraindításakor.
Annak ellenőrzése, hogy a hitelesítésszolgáltató képes kereszttanúsítványok létrehozására a saját tanúsítványának igazolására a hitelesítésszolgáltatói tanúsítvány megújítása során:
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, mutasson a Felügyeleti eszközök elemre, és kattintson a Hitelesítésszolgáltató lehetőségre.
A konzolfán kattintson a hitelesítésszolgáltató nevére.
A Tanúsítvány megújítása varázsló elindításához a Művelet menüben mutasson a Minden feladat menüpontra, majd kattintson a Hitelesítésszolgáltatói tanúsítvány megújítása lehetőségre.
Nyissa meg a Tanúsítványok beépülő modult a számítógépen, majd kattintson duplán a hitelesítésszolgáltatói tanúsítványra.
Kattintson a Részletek fülre, és kattintson a Megjelenítés: csak bővítmények lehetőségre.
Kattintson duplán az előző hitelesítésszolgáltatói tanúsítványra, és tekintse át a tanúsítványhoz konfigurált bővítményeket.
Hasonlítsa össze a legújabb és az előző hitelesítésszolgáltatói tanúsítványban található bővítményeket, hogy biztosan egyeznek-e.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 102 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.102" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">102</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID45e4d639a5ed47f4b4f4ae5914594727"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>