根 CA 证书已添加到本地企业根存储中。
链或路径验证流程的作用是分层次处理最终实体(用户或计算机)证书和所有证书颁发机构 (CA) 证书,直到证书链在一个受信任的自签名证书处终止为止。通常该证书是一个根 CA 证书。如果 CA 证书的可用性、有效性和链验证出现问题,则 Active Directory 证书服务 (AD CS) 可能会启动失败。
将根 CA 证书发布到 Active Directory 域服务
如果证书颁发机构 (CA) 是最近安装的,该错误的一个实例可被认为是正常情况。
如果该错误仍然存在,或如果客户端检测到类似的错误,则您可以手动将根证书发布到 Active Directory 域服务 (AD DS)。
要执行此过程,您必须拥有管理 CA 的权限,或者您必须被委派了适当的权限。
要将根 CA 证书发布到 AD DS,请执行以下操作:
在托管 CA 的计算机上,单击“开始”,键入 cmd ,然后按 Enter。
键入 certutil -f -dspublish <CAcert.cer> RootCA,然后按 ENTER。
可以在 %windir%\system32\certsrv\certenroll 中找到根 CA 证书文件。使用包含根 CA 证书的文件的名称替换 CAcert.cer。
要确认证书颁发机构 (CA) 证书和链是否有效,请执行以下操作:
在托管 CA 的计算机上,单击“开始”,键入 mmc,然后按 ENTER。
如果显示“用户帐户控制”对话框,请确认显示的操作正是你要执行的操作,然后单击“继续”。
在“文件”菜单上,依次单击“添加/删除管理单元”、“证书”、“添加”。
单击“计算机”帐户,然后单击“下一步”。
单击“完成”,然后单击“确定”。
在控制台树中,单击“证书(本地计算机)”,然后单击“个人”。
请确认此存储中存在尚未到期的 CA 证书。
右键单击此证书,然后选择“导出”,以启动“证书导出向导”。
将该证书导出到名为 Cert.cer 的文件。
键入 Start、cmd,然后按 ENTER。
键入 certutil -urlfetch -verify <cert.cer>,然后按 ENTER。
如果没有报告验证、链生成或吊销检查错误,则说明链有效。
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 103 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.103" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">103</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>