Sertifika Hizmetleri, karşılıklı sertifika oluşturamadı.
Bir kök sertifika yetkilisi (CA) sertifikası yenilendiğinde, hem özgün kök sertifika hem de yenilenen kök sertifika, ortak anahtar hiyerarşisindeki önemini korur. Özgün kök CA sertifikası, hiyerarşi için nihai güven altyapısı olmaya devam eder ve özgün hiyerarşi altında verilen tüm sertifikalara yönelik sertifika zincirlerinin doğrulanmasına yardımcı olur. Yenilenen kök CA sertifikası, yenilenme tarihinden itibaren hiyerarşide verilen tüm sertifikalar için güven altyapısı sunar
Bu senaryoları desteklemek üzere, özgün ve yenilenen kök sertifika arasında güven ilişkisi kurmak üzere ayrıca bir çift karşılıklı CA sertifikası oluşturulur.
İlk karşılıklı sertifika, özgün kök CA sertifikasının yenilenen CA sertifikasına güvendiğini doğrular.
İkinci karşılıklı sertifika, yenilenen CA sertifikasının özgün kök sertifikaya güvendiğini doğrular.
Tek başına CA'lar, CA anahtarları değiştirildiğinde otomatik olarak imzalanan karşılıklı sertifikalar oluşturur. Her kök sertifikanın ömrünün çakıştığı süre boyunca, her anahtar geçişi için bir karşılıklı sertifika oluşturulur.
.
Bir kök sertifika yetkilisi (CA) sertifikası yeni bir anahtarla yenilendiğinde, CA eski ve yeni CA sertifikaları arasında otomatik olarak karşılıklı sertifikalar oluşturur. Karşılıklı sertifika imzalanırken bir şifreleme hatası oluşursa, uzantı çakışmasını düzelterek sorunu çözebilirsiniz. Çözemezseniz, ek sorun giderme bilgilerini edinmek için CryptoAPI 2.0 Tanılama'yı etkinleştirin.
Bu yordamları gerçekleştirmek için CA'yı Yönet izinlerine sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.
Uzantı çakışmasını çözün
Uzantı çakışmasını çözmek için:
Başlat'a tıklayın, mmc yazın ve sonra ENTER tuşuna basın.
Kullanıcı Hesabı Denetimi iletişim kutusu görüntülenirse, burada görüntülenen eylemin istediğiniz eylem olduğunu doğrulayın ve sonra Devam'a tıklayın.
Dosya menüsünde, Ek Bileşen Ekle/Kaldır'a tıklayın, Sertifikalar'a tıklayın ve sonra Ekle'ye tıklayın.
Bilgisayar hesabı öğesine ve sonra İleri'ye tıklayın.
CA'yı barındıran bilgisayarı seçin, Son'a ve sonra Tamam'a tıklayın.
Ayrıntılar sekmesine tıklayın ve Göster: Yalnızca uzantılar seçeneğine tıklayın.
Önceki CA sertifikasına çift tıklayın ve bu sertifikaya yönelik yapılandırılan uzantıları görüntüleyin.
En son CA sertifikasındaki uzantıları, önceki CA sertifikasındaki uzantılarla karşılaştırın.
Sertifika isteğini yeniden yapılandırarak ve yeni bir sertifika isteği göndererek, uzantılar arasındaki uyumsuzlukları düzeltin.
Not: Not: Özel bir sertifika isteği yapılandırma hakkında bilgi için, bkz. "Advanced Certificate Enrollement and Management" (Gelişmiş Sertifika Kaydı ve Yönetimi http://go.microsoft.com/fwlink/?LinkID=74577).
CryptoAPI 2.0 Tanılama'yı etkinleştirin
CryptoAPI 2.0 Tanılama'yı etkinleştirmek için:
CA'yı barındıran bilgisayarda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Olay Görüntüleyicisi'ne tıklayın.
Konsol ağacında, Olay Görüntüleyicisi'ni, Uygulama ve Hizmet Günlükleri'ni, Microsoft'u, Windows'u ve CAPI2'yi genişletin.
İşlemsel'e sağ tıklayın ve Günlüğü Etkinleştir'e tıklayın.
Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Hizmetler'e tıklayın.
Active Directory Sertifika Hizmetleri'ne sağ tıklayın ve Yeniden Başlat'a tıklayın.
Herhangi bir CA sertifikası doğrulama veya zincir oluşturma hatası olup olmadığını denetleyin. Tüm hataları düzeltin ve sonra CA'yı tekrar yeniden başlatın.
Uzantılar doğruysa ve CA sertifikası doğrulama ve zincir oluşturma doğruysa, CA yeniden başlatıldığında eksik karşılıklı CA sertifikaları otomatik olarak oluşturulmalıdır.
Sertifika yetkilisinin (CA) CA sertifikası yenileme işlemi sırasında kendi sertifikasını onaylamak üzere bir karşılıklı sertifika oluşturabildiğini doğrulamak için:
CA'yı barındıran bilgisayarda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Sertifika Yetkilisi'ne tıklayın.
Konsol ağacında, CA'nın adına tıklayın.
Eylem menüsünde, Tüm Görevler'in üzerine gidin ve Sertifika Yenileme Sihirbazı'nı başlatmak için CA Sertifikasını Yenile öğesine tıklayın.
Bilgisayar üzerinde Sertifikalar ek bileşenini açın ve CA sertifikasına çift tıklayın.
Ayrıntılar sekmesine tıklayın ve Göster:Yalnızca uzantılar seçeneğine tıklayın.
Önceki CA sertifikasına çift tıklayın ve bu sertifikaya yönelik yapılandırılan uzantıları görüntüleyin.
Eşleştiklerini onaylamak için, en son CA sertifikasındaki uzantıları, önceki CA sertifikasındaki uzantılarla karşılaştırın.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 102 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.102" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">102</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID45e4d639a5ed47f4b4f4ae5914594727"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>