Usługi certyfikatów nie mogą utworzyć certyfikatu krzyżowego.
W przypadku odnowienia certyfikatu głównego urzędu certyfikacji (CA) zarówno oryginalny, jak i odnowiony certyfikat główny nadal jest istotny w hierarchii kluczy publicznych. Oryginalny certyfikat głównego urzędu certyfikacji pozostaje ostateczną podstawą zaufania w hierarchii i jest używany do sprawdzania łańcuchów wszystkich certyfikatów wystawionych w pierwotnej hierarchii. Odnowiony certyfikat głównego urzędu certyfikacji stanowi podstawę zaufania dla wszystkich certyfikatów wystawionych w hierarchii od daty odnowienia.
Aby takie scenariusze były obsługiwane, dodatkowo tworzone są dwa certyfikaty krzyżowe urzędów certyfikacji w celu utworzenia relacji zaufania między oryginalnym a odnowionym certyfikatem głównym:
Pierwszy certyfikat krzyżowy potwierdza, że oryginalny certyfikat głównego urzędu certyfikacji ufa odnowionemu certyfikatowi urzędu certyfikacji.
Drugi certyfikat krzyżowy potwierdza, że odnowiony certyfikat urzędu certyfikacji ufa pierwotnemu certyfikatowi głównego urzędu certyfikacji.
W przypadku autonomicznych urzędów certyfikacji podczas zmiany kluczy urzędu certyfikacji generowane są certyfikaty krzyżowe w podpisem własnym. Certyfikat krzyżowy jest generowany dla każdej zmiany klucza i obowiązuje przez okres jednoczesnej ważności obu certyfikatów głównych.
.
Odnowienie certyfikatu głównego urzędu certyfikacji (CA) z użyciem nowego klucza powoduje automatyczne wygenerowanie przez urząd certyfikacji certyfikatów krzyżowych wiążących stary i nowy certyfikat urzędu certyfikacji. Jeśli podczas podpisywania certyfikatu krzyżowego wystąpił błąd kryptograficzny, być może da się rozwiązać problem poprzez usunięcie konfliktu rozszerzeń. W przeciwnym razie należy włączyć funkcję diagnostyki CryptoAPI 2.0, aby zebrać dodatkowe informacje dotyczące rozwiązywania problemów.
Aby wykonać te procedury, trzeba posiadać uprawnienie Zarządzaj urzędem certyfikacji lub otrzymać odpowiednie uprawnienia poprzez oddelegowanie.
Rozwiązywanie konfliktu rozszerzeń
Aby rozwiązać konflikt rozszerzeń:
Kliknij przycisk Start, wpisz polecenie mmc, a następnie naciśnij klawisz ENTER.
Jeśli pojawi się okno dialogowe Kontrola konta użytkownika, potwierdź, że wyświetlana akcja jest odpowiednia, i kliknij przycisk Kontynuuj.
W menu Plik kliknij polecenie Dodaj/Usuń przystawkę, kliknij pozycję Certyfikaty, a następnie kliknij przycisk Dodaj.
Kliknij opcję Konto komputera, a następnie przycisk Dalej.
Wybierz komputer udostępniający urząd certyfikacji, kliknij opcję Zakończ, a następnie kliknij przycisk OK.
Kliknij kartę Szczegóły, a następnie pozycję Pokaż: Tylko rozszerzenia.
Kliknij dwukrotnie poprzedni certyfikat urzędu certyfikacji i wyświetl rozszerzenia skonfigurowane dla tego certyfikatu.
Porównaj rozszerzenia w najnowszym certyfikacie urzędu certyfikacji z rozszerzeniami w poprzednim certyfikacie urzędu certyfikacji.
Skoryguj wszelkie niezgodności między rozszerzeniami, ponownie konfigurując żądanie certyfikatu i przesyłając nowe żądanie certyfikatu.
Uwaga: informacje na temat konfigurowania niestandardowego żądania certyfikatu zawiera artykuł „Zaawansowana rejestracja certyfikatów i zarządzanie nimi” ( http://go.microsoft.com/fwlink/?LinkID=74577).
Włączanie funkcji diagnostyki CryptoAPI 2.0
Aby włączyć funkcję diagnostyki CryptoAPI 2.0:
Na komputerze udostępniającym urząd certyfikacji kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Podgląd zdarzeń.
W drzewie konsoli rozwiń kolejno pozycje Podgląd zdarzeń, Dzienniki aplikacji i usług, Microsoft, Windows i CAPI2.
Kliknij prawym przyciskiem myszy opcję Operacyjny, a następnie kliknij polecenie Włącz dziennik.
Kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Usługi.
Kliknij prawym przyciskiem myszy pozycję Usługi certyfikatów Active Directory, a następnie kliknij polecenie Uruchom ponownie.
Znajdź wszelkie błędy weryfikacji certyfikatów lub łańcuchów certyfikatów urzędu certyfikacji. Usuń wszelkie błędy i ponownie uruchom urząd certyfikacji.
Jeśli rozszerzenia są poprawne, a weryfikacja certyfikatów i łańcuchów certyfikatów urzędu certyfikacji przebiega prawidłowo, brakujące certyfikaty krzyżowe urzędu certyfikacji powinny zostać automatycznie wygenerowane podczas ponownego uruchomienia urzędu certyfikacji.
Aby upewnić się, że urząd certyfikacji (CA) może utworzyć certyfikat krzyżowy certyfikujący jego własny certyfikat podczas odnawiania certyfikatu urzędu certyfikacji:
Na komputerze udostępniającym urząd certyfikacji kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Urząd certyfikacji.
W drzewie konsoli kliknij nazwę urzędu certyfikacji.
W menu Akcja wskaż polecenie Wszystkie zadania i kliknij polecenie Odnów certyfikat urzędu certyfikacji, aby uruchomić Kreatora odnawiania certyfikatów.
Na komputerze otwórz przystawkę certyfikatów i dwukrotnie kliknij certyfikat urzędu certyfikacji.
Kliknij kartę Szczegóły, a następnie pozycję Pokaż: Tylko rozszerzenia.
Kliknij dwukrotnie poprzedni certyfikat urzędu certyfikacji i wyświetl rozszerzenia skonfigurowane dla tego certyfikatu.
Porównaj rozszerzenia w najnowszym certyfikacie urzędu certyfikacji z rozszerzeniami w poprzednim certyfikacie urzędu certyfikacji, aby potwierdzić ich zgodność.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 102 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.102" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">102</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID45e4d639a5ed47f4b4f4ae5914594727"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>