Servizi certificati: impossibile aggiungere un certificato CA ad Active Directory
Servizi certificati Active Directory (AD CS) richiede almeno l'accesso in lettura, e in alcuni casi l'accesso in scrittura, a determinati oggetti di Servizi di dominio Active Directory (AD DS). Il mancato accesso a questi oggetti di Active Directory può impedire l'avvio di Servizi certificati Active Directory.
Abilitazione di Servizi certificati Active Directory all'aggiunta di un certificato CA a Servizi di dominio Active Directory
Per consentire a Servizi certificati Active Directory di aggiungere il certificato dell'autorità di certificazione (CA) indicato nel messaggio del registro eventi a Servizi di dominio Active Directory:
Verificare che la CA disponga delle autorizzazioni necessarie per i contenitori e gli oggetti essenziali di Servizi di dominio Active Directory.
Determinare se esiste un certificato CA valido nel contenitore AIA.
Se non esiste, pubblicare manualmente il certificato CA nel contenitore AIA.
Per eseguire questa procedura, è necessario appartenere al gruppo Domain Admins oppure avere ricevuto in delega l'autorità appropriata.
Verificare le autorizzazioni sui contenitori e oggetti essenziali di Servizi di dominio Active Directory
Per verificare che la CA disponga delle autorizzazioni necessarie per i contenitori e gli oggetti di Servizi di dominio Active Directory all'interno di questi contenitori:
Su un controller di dominio, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Siti e servizi di Active Directory.
Fare clic su Siti e servizi di Active Directory [nomedominio], dove [nomedominio] è il nome del proprio dominio.
Nel menu Visualizza, fare clic su Mostra nodo servizi.
Fare doppio clic su Services, fare doppio clic su Public Key Services, fare clic con il pulsante destro del mouse su ogni contenitore elencato di seguito o sugli oggetti elencati all'interno del contenitore, quindi fare clic su Proprietà.
Nella scheda Protezione, verificare le autorizzazioni necessarie.
Di seguito sono riportate tutte le autorizzazioni di Active Directory richieste da un computer su cui si trova una CA. Alcune di queste autorizzazioni vengono ottenute mediante l'appartenenza al gruppo Cert Publishers.
Contenitore servizi di registrazione. Il computer CA dispone di accesso in lettura e in scrittura sul proprio oggetto.
Contenitore AIA. Il gruppo Cert Publishers dispone di accesso con controllo completo sul contenitore AIA; il computer della CA dispone di accesso con controllo completo sul proprio oggetto all'interno del contenitore AIA.
Contenitore CDP. Il gruppo Cert Publishers dispone di accesso con controllo completo su ogni contenitore della CA situato sotto il contenitore CDP; il computer della CA dispone di accesso con controllo completo su ogni oggetto dell'elenco di revoche di certificati (CRL) all'interno del proprio contenitore.
Contenitore Autorità di certificazione. Il gruppo Cert Publishers dispone di accesso con controllo completo sugli oggetti situati all'interno di questo contenitore.
Contenitore Modelli di certificato. I gruppi Enterprise Admins e Domain Admins (non il computer della CA) dispongono di accesso con controllo completo o di accesso in lettura e in scrittura a questo contenitore e alla maggior parte degli oggetti in esso contenuti.
Contenitore Agente di recupero chiavi. Il computer della CA dispone di accesso con controllo completo sul proprio oggetto.
Contenitore Identificatori oggetto. I gruppi Enterprise Admins e Domain Admins (non il computer della CA) dispongono di accesso con controllo completo o di accesso in lettura e in scrittura a questo contenitore e ai contenitori e oggetti in esso contenuti.
Oggetto NTAuthCertificates. I gruppi Enterprise Admins e Domain Admins (non il computer della CA) dispongono di accesso con controllo completo o di accesso in lettura e in scrittura.
Contenitori Computer del dominio e Utenti del dominio. Il gruppo Cert Publishers dispone di autorizzazioni di lettura e scrittura sulla proprietà userCertificate di ogni oggetto utente e computer compreso nella foresta in cui viene distribuito Servizi certificati Active Directory.
Per eseguire queste procedure è necessario disporre dell'autorizzazione Gestione CA oppure avere ricevuto in delega l'autorità appropriata.
Determinare se esiste il certificato CA nel contenitore AIA
Per visualizzare il contenuto del contenitore AIA in Servizi di dominio Active Directory:
In un controller di dominio, fare clic sul pulsante Start, digitare cmd e premere INVIO.
Digitare certutil -cainfo e premere INVIO.
Nell'output del comando, prendere nota della proprietà elencata dopo Nome breve puro.
Quindi digitare il comando seguente e premere INVIO:
certutil -viewstore ldap:/// CN=<CApersonale>,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?cACertificate?base?objectclass=certificationAuthority
Sostituire MyCA con la proprietà Nome breve puro del comando precedente e sostituire contoso e com con il nome distinto LDAP (Lightweight Directory Access Protocol) del proprio dominio radice Active Directory.
Se il certificato CA non viene visualizzato nel contenitore AIA e si dispone delle autorizzazioni necessarie, utilizzare la procedura seguente per pubblicare il certificato CA.
Pubblicare manualmente un certificato CA
Per pubblicare manualmente il certificato CA in Servizi di dominio Active Directory:
In una CA, fare clic sul pulsante Start, digitare cmd e premere INVIO.
Per un certificato CA radice digitare il seguente comando e premere INVIO: certutil [-f] -dspublish <certificatoCA.cer> RootCA
Per un certificato CA subordinato digitare il seguente comando e premere INVIO: certutil [-f] -dspublish <certificatoCA.cer> SubCA
Sostituire <certificatoCA.cer> con il nome di un file di certificato. Il flag "-f" ricrea l'oggetto anche se è stato eliminato.
Per verificare la connessione tra una CA e Servizi di dominio Active Directory (AD DS):
Aprire una finestra del prompt dei comandi sul computer su cui si trova la CA.
Digitare nltest /sc_verify: [nomedominio] e premere INVIO.
Attenersi alla procedura riportata di seguito per verificare le autorizzazioni sui contenitori e gli oggetti essenziali di Servizi di dominio Active Directory.
Sostituire [nomedominio] con il nome dello spazio dei nomi in cui è installata la CA.
Verificare le autorizzazioni sui contenitori e oggetti essenziali di Servizi di dominio Active Directory
Per eseguire questa procedura, è necessario appartenere al gruppo Domain Admins oppure avere ricevuto in delega l'autorità appropriata.
Per verificare che la CA disponga delle autorizzazioni necessarie per i contenitori e gli oggetti di Servizi di dominio Active Directory all'interno di questi contenitori:
Su un controller di dominio, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Siti e servizi di Active Directory.
Fare clic su Siti e servizi di Active Directory [nomedominio], dove [nomedominio] è il nome del proprio dominio.
Nel menu Visualizza, fare clic su Mostra nodo servizi.
Fare doppio clic su Services, fare doppio clic su Public Key Services, fare clic con il pulsante destro del mouse su ogni contenitore elencato di seguito o sugli oggetti elencati all'interno del contenitore, quindi fare clic su Proprietà.
Nella scheda Protezione, verificare le autorizzazioni necessarie.
Di seguito sono riportate tutte le autorizzazioni di Active Directory richieste da un computer su cui si trova una CA. Alcune di queste autorizzazioni vengono ottenute mediante l'appartenenza al gruppo Cert Publishers.
Contenitore servizi di registrazione. Il computer CA dispone di accesso in lettura e in scrittura sul proprio oggetto.
Contenitore AIA. Il gruppo Cert Publishers dispone di accesso con controllo completo sul contenitore AIA; il computer della CA dispone di accesso con controllo completo sul proprio oggetto all'interno del contenitore AIA.
Contenitore CDP. Il gruppo Cert Publishers dispone di accesso con controllo completo su ogni contenitore della CA situato sotto il contenitore CDP; il computer della CA dispone di accesso con controllo completo su ogni oggetto dell'elenco di revoche di certificati (CRL) all'interno del proprio contenitore.
Contenitore Autorità di certificazione. Il gruppo Cert Publishers dispone di accesso con controllo completo sugli oggetti situati all'interno di questo contenitore.
Contenitore Modelli di certificato. I gruppi Enterprise Admins e Domain Admins (non il computer della CA) dispongono di accesso con controllo completo o di accesso in lettura e in scrittura a questo contenitore e alla maggior parte degli oggetti in esso contenuti.
Contenitore Agente di recupero chiavi. Il computer della CA dispone di accesso con controllo completo sul proprio oggetto.
Contenitore Identificatori oggetto. I gruppi Enterprise Admins e Domain Admins (non il computer della CA) dispongono di accesso con controllo completo o di accesso in lettura e in scrittura a questo contenitore e ai contenitori e oggetti in esso contenuti.
Oggetto NTAuthCertificates. I gruppi Enterprise Admins e Domain Admins (non il computer della CA) dispongono di accesso con controllo completo o di accesso in lettura e in scrittura.
Contenitori Computer del dominio e Utenti del dominio. Il gruppo Cert Publishers dispone di autorizzazioni di lettura e scrittura sulla proprietà userCertificate di ogni oggetto utente e computer compreso nella foresta in cui viene distribuito Servizi certificati Active Directory.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 106 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.106" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">106</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID4f12f8d124ed4ece99544c9a9730fa37"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>