Certifikattjänster kunde inte skapa ett korscertifikat.
När ett rotcertifikatutfärdarcertifikat förnyas är både det ursprungliga rotcertifikatet och det förnyade rotcertifikatet viktigt i den offentliga nyckelhierarkin. Det ursprungliga CA-certifikatet är hierarkins förtroendegrund och hjälper till att validera certifikatkedjorna för alla certifikat som har utfärdats av den ursprungliga hierarkin. Det förnyade rot-CA-certifikatet utgör förtroendegrunden för alla certifikat som utfärdas i hierarkin från och med förnyelsedatumet
Ett par kors-CA-certifikat skapas också för att stöda dessa scenarier och skapa förtroendeförhållandet mellan det ursprungliga och det förnyade rotcertifikatet:
Det första korscertifikatet kontrollerar att det ursprungliga rot-CA-certifikatet har förtroende för det förnyade CA-certifikatet.
Det andra korscertifikatet kontrollerar att det förnyade rot-CA-certifikatet har förtroende för det ursprungliga rotcertifikatet.
Fristående certifikatutfärdare genererar självsignerade korscertifikat när CA-nycklar ändras. Ett korscertifikat genererar för varje nyckelövergång för perioden där rotcertifikatens livslängder överlappar.
.
När ett rotcertifikatutfärdarcertifikat förnyas med en ny nyckel genererar certifikatutfärdaren automatiskt korscertifikat mellan de nya och de gamla CA-certifikaten. Om ett krypteringsfel inträffade under signeringen av korscertifikaten kan du lösa problemet genom att korrigera tilläggskonflikten. Annars aktiverar du CryptoAPI 2.0-diagnostik för att samla in ytterligare felsökningsinformation.
För att kunna utföra dessa procedurer måste du ha behörighet att hantera certifikatutfärdare, eller ha tilldelats lämplig auktoritet.
Lös en tilläggskonflikt
Lösa en tilläggskonflikt:
Klicka på Start, skriv mmc och tryck på RETUR.
Om dialogrutan Kontroll av användarkonto visas bekräftar du att den åtgärd som visas är den du önskar och klickar på Fortsätt.
Klicka på Lägg till/ta bort snapin i Arkiv-menyn, klicka på Certifikat och Lägg till.
Klicka på Datorkonto och Nästa.
Markera den dator som kör CA och klicka på Slutför och OK.
Klicka på fliken Information och sedan på Visa: Endast tillägg.
Dubbelklicka på det tidigare CA-certifikatet och visa certifikatets konfigurerade tillägg.
Jämför tilläggen i det senaste CA-certifikatet med tilläggen i det tidigare CA-certifikatet.
Korrigera allt som inte stämmer överens i tilläggen genom att konfigurera om certifikatbegäran och skicka en ny certifikatbegäran.
Obs! Information om hur du konfigurerar en anpassad certifikatbegäran finns på Avancerad certifikatregistrering och -hantering ( http://go.microsoft.com/fwlink/?LinkID=74577).
Aktivera CryptoAPI 2.0-diagnostik
Aktivera CryptoAPI 2.0-diagnostik:
Klicka på Start på datorn som kör certifikatutfärdaren, peka på Administrationsverktyg och klicka på Loggboken.
Expandera Loggboken, Program- och tjänsteloggar, Microsoft, Windows och CAPI2 i konsolträdet.
Högerklicka på Arbetsloggen och klicka på Aktivera logg.
Klicka på Start, peka på Administrationsverktyg och klicka på Tjänster.
Högerklicka på Active Directory-certifikattjänster och klicka på Starta om.
Sök efter fel vid verifiering eller kedjning av CA-certifikat. Lös alla problem och starta om certifikatutfärdaren igen.
Om tilläggen och verifieringen och kedjningen av CA-certifikat är korrekta bör kors-CA-certifikaten som saknas genereras automatiskt när certifikatutfärdaren startas om.
Kontrollera att certifikatutfärdaren kan skapa ett korscertifikat för att certifiera det egna certifikatet vid förnyelsen av CA-certifikatet genom att:
Klicka på Start på datorn som kör certifikatutfärdaren, peka på Administrationsverktyg och klicka på Certifikatutfärdare.
Klicka på namnet för certifikatutfärdaren i konsolträdet.
Peka på Alla uppgifter i Åtgärdsmenyn och klicka på Förnya CA-certifikat för att starta guiden Förnya certifikat.
Öppna snapin-modulen för certifikat på datorn och dubbelklicka på CA-certifikatet.
Klicka på fliken Information och sedan på Visa: Endast tillägg.
Dubbelklicka på det tidigare CA-certifikatet och visa certifikatets konfigurerade tillägg.
Jämför tilläggen i det senaste CA-certifikatet med tilläggen i det tidigare CA-certifikatet för att bekräfta att de stämmer överens.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 102 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.102" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">102</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID45e4d639a5ed47f4b4f4ae5914594727"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>