Do kořenového úložiště místní rozlehlé sítě byl přidán kořenový certifikát certifikační autority.
Ověření řetězu nebo cesty je proces, kterým koncová entita (uživatel nebo počítač) certifikuje. Všechny certifikáty vydané certifikační autoritou (CA) jsou zpracovávány hierarchicky, dokud není řetěz certifikátů ukončen na důvěryhodném certifikátu podepsaném svým držitelem (self-signed certificate). Obvykle se jedná o kořenový certifikát certifikační autority. Spuštění služby AD CS (Active Directory Certificate Services) se nemusí zdařit, pokud existují problémy s dostupností, platností a ověřením řetězu pro certifikát certifikační autority.
Publikujte kořenový certifikát certifikační autority do služby Active Directory Domain Services
Pokud byla certifikační autorita (CA) nainstalována nedávno, lze jeden výskyt této chyby považovat za normální.
Pokud tato chyba trvá, nebo klient zjistí podobné chyby, můžete publikovat kořenový certifikát do služby Active Directory Domain Services (AD DS) ručně.
Abyste mohli provést tento postup, musíte mít oprávnění pro správu certifikační autority, nebo musíte mít přiděleno příslušné oprávnění.
Postup publikování kořenového certifikátu certifikační autority do služby AD DS:
Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, zadejte příkaz cmd a stiskněte klávesu ENTER.
Napište certutil -f -dspublish <CAcert.cer> RootCA a stiskněte ENTER.
Soubor kořenového certifikátu CA se nachází ve složce %windir%\system32\certsrv\certenroll. Nahraďte text CAcert.cer názvem souboru obsahujícím kořenový certifikát certifikační autority.
Postup kontroly platnosti certifikátu certifikační autority (CA) a řetězu:
Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, zadejte příkaz mmc a stiskněte klávesu ENTER.
Pokud se otevře dialogové okno Řízení uživatelských účtů, zkontrolujte, jestli zobrazená akce odpovídá vašemu požadavku, a pak klikněte na Pokračovat.
V nabídce Soubor klikněte na možnost Přidat nebo odebrat modul snap-in, klikněte na Certifikáty a pak na Přidat.
Klikněte na možnost Účet počítače a poté klikněte na Další.
Klikněte na Dokončit a poté na tlačítko OK.
Ve stromu konzoly klikněte na Certifikáty (Místní počítač) a poté klikněte na Osobní.
Zkontrolujte, zda v tomto úložném prostoru existuje certifikát certifikační autority, jehož platnost dosud nevypršela.
Klikněte pravým tlačítkem na tento certifikát a výběrem možnosti Export spusťte Průvodce exportem certifikátu.
Exportujte certifikát do souboru s názvem Cert.cer.
Klikněte na tlačítko Start, zadejte cmd a stiskněte klávesu ENTER.
Napište certutil -urlfetch -verify <cert.cer> a stiskněte ENTER.
Řetěz je platný, pokud nejsou hlášeny žádné chyby ověření, sestavení řetězu nebo kontroly odvolání.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 103 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.103" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">103</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>