Sertifika Hizmetleri, Active Directory olanağına bir CA sertifikası ekleyemiyor.
Active Directory Sertifika Hizmetleri (AD CS) Active Directory Etki Alanı Hizmetleri'ndeki (AD DS) belirli nesneler için minimum olarak Okuma erişimi ve bazı durumlarda Yazma erişimi gerektirir. Bu Active Directory nesnelerine erişilememesi, AD CS'nin başlatılmasını engelleyebilir.
AD CS'yi bir CA sertifikasını Active Directory Etki Alanı Hizmetleri'ne eklemek üzere etkinleştirin
Active Directory Sertifika Hizmetleri'ni (AD CS) olay günlüğü iletisinde tanımlanan sertifika yetkilisi (CA) sertifikasını Active Directory Etki Alanı Hizmetleri'ne (AD DS) eklemek üzere etkinleştirmek için:
CA'nın gerekli AD DS kapsayıcılarına ve nesnelerine yönelik izinlere sahip olduğunu onaylayın.
AIA kapsayıcısında CA sertifikasının var olup olmadığını belirleyin.
Yoksa, CA sertifikasını AIA kapsayıcısına el ile yayımlayın.
Bu yordamı gerçekleştirmek için Domain Admins olanağında üyeliğe sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.
Gerekli AD DS kapsayıcıları ve nesneleri üzerindeki izinleri onaylayın
CA'nın şu kapsayıcılar dahilindeki AD DS kapsayıcıları ve nesneleri üzerinde gerekli izinlere sahip olduğunu onaylamak için:
Bir etki alanı denetleyicisi üzerinde, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Active Directory Siteleri ve Hizmetleri'ne tıklayın.
Active Directory Siteleri ve Hizmetleri [etkialanıadı] olanağına tıklayın; burada [etkialanıadı], etki alanınızın adıdır.
Görünüm menüsünde, Hizmet Düğümünü Göster'e tıklayın.
Hizmetler'e ve Ortak Anahtar Hizmetleri'ne çift tıklayın ve aşağıda listelenen her bir kapsayıcıya veya kapsayıcı içinde listelenen nesnelere sağ tıklayın ve Özellikler'e tıklayın.
Güvenlik sekmesinde, gerekli izinleri onaylayın.
Bir CA barındıran bir bilgisayarın gerekli kıldığı tüm Active Directory izinleri aşağıda verilmiştir. Bu izinlerden bazıları, Cert Publishers grubuna üyelik yoluyla elde edilebilir.
Kayıt Hizmetleri kapsayıcısı. CA bilgisayarı, kendi nesnesine yönelik Okuma ve Yazma erişimine sahiptir.
AIA kapsayıcısı. Cert Publishers grubu, AIA kapsayıcısı üzerinde Tam Denetim erişimine sahiptir ve CA bilgisayarı, AIA kapsayıcısı içindeki kendi nesnesi üzerinde Tam Denetim erişimine sahiptir.
CDP kapsayıcısı. Cert Publishers grubu, CDP kapsayıcısı altındaki her bir CA'nın kapsayıcısı üzerinde Tam Denetim erişimine sahiptir ve CA bilgisayarı, kendi kapsayıcısındaki her sertifika iptal listesi (CRL) nesnesi üzerinde Tam Denetim erişimine sahiptir.
Sertifika Yetkilileri kapsayıcısı. Cert Publishers grubu, bu kapsayıcı içindeki nesneler üzerinde Tam Denetim erişimine sahiptir.
Sertifika Şablonları kapsayıcısı. Enterprise Admins ve Domain Admins grupları (CA bilgisayarı değil), bu kapsayıcıya ve içindeki nesnelerin çoğuna yönelik Tam Denetim erişimine veya Okuma ve Yazma erişimine sahiptir.
KRA kapsayıcısı. CA bilgisayarı, kendi nesnesi üzerinde Tam Denetim erişimine sahiptir.
OID kapsayıcısı. Enterprise Admins ve Domain Admins grupları (CA bilgisayarı değil), bu kapsayıcıya ve içindeki kapsayıcılara ve nesnelere yönelik Tam Denetim erişimine veya Okuma ve Yazma erişimine sahiptir.
NTAuthCertificates nesnesi. Enterprise Admins ve Domain Admins grupları (CA bilgisayarı değil), Tam Denetim erişimine veya Okuma ve Yazma erişimine sahiptir.
Etki Alanı Bilgisayarları ve Etki Alanı Kullanıcıları kapsayıcıları. Cert Publishers grubu, AD CS'nin dağıtıldığı ormandaki her kullanıcı ve bilgisayar nesnesinin userCertificate özelliği üzerinde Okuma ve Yazma izinlerine sahiptir.
Bu yordamları gerçekleştirmek için CA'yı Yönet izinlerine sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.
AIA kapsayıcısında CA sertifikasının mevcut olup olmadığını belirleyin
AD DS'deki AIA kapsayıcısının içeriğini görüntülemek için:
Bir etki alanı denetleyicisi üzerinde, Başlat'a tıklayın, cmd yazın ve ENTER tuşuna basın.
certutil -cainfo yazın ve ENTER tuşuna basın.
Komut çıktısında, Ayıklanmış Kısa Ad öğesinden sonra listelenen özelliği not edin.
Sonra, şu komutu yazın ve ENTER tuşuna basın:
certutil -viewstore ldap:/// CN=<KullandığımCA>,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?cACertificate?base?objectclass=certificationAuthority
KullandığımCA ifadesini, önceki komuttaki Ayıklanmış Kısa Ad özelliğiyle değiştirin ve contoso ve com öğelerini Active Directory kök etki alanınızın Basit Dizin Erişimi Protokolü (LDAP) ayrı adıyla değiştirin.
CA sertifikası AIA kapsayıcısında görünmezse ve gerekli izinlere sahipseniz, CA sertifikasını yayımlamak için aşağıdaki yordamı kullanın.
CA sertifikasını el ile yayımlayın
CA sertifikasını AD DS'ye el ile yayımlamak için:
Bir CA üzerinde, Başlat'a tıklayın, cmd yazın ve ENTER tuşuna basın.
Kök CA sertifikası için şu komutu yazın ve ENTER tuşuna basın: certutil [-f] -dspublish <CAcert.cer> RootCA
Alt CA sertifikası için şu komutu yazın ve ENTER tuşuna basın: certutil [-f] -dspublish <CAcert.cer> SubCA
<CAcert.cer> ifadesini, bir sertifika dosyasının adıyla değiştirin. "-f" bayrağı silinmiş olsa bile nesneyi yeniden oluşturur.
Bir CA ile Active Directory Etki Alanı Hizmetleri (AD DS) arasındaki bağlantıyı denetlemek için:
CA'yı barındıran bilgisayar üzerinde bir komut istemi penceresi açın.
nltest /sc_verify: [etkialanıadı] yazıp ENTER tuşuna basın.
Gerekli AD DS kapsayıcıları ve nesneleri üzerindeki izinleri onaylamak için aşağıdaki yordamı kullanın.
[etkialanıadı] ifadesini, CA'nın yüklü olduğu ad alanının adıyla değiştirin.
Gerekli AD DS kapsayıcıları ve nesneleri üzerindeki izinleri onaylayın
Bu yordamı gerçekleştirmek için Domain Admins olanağında üyeliğe sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.
CA'nın şu kapsayıcılar dahilindeki AD DS kapsayıcıları ve nesneleri üzerinde gerekli izinlere sahip olduğunu onaylamak için:
Bir etki alanı denetleyicisi üzerinde, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Active Directory Siteleri ve Hizmetleri'ne tıklayın.
Active Directory Siteleri ve Hizmetleri [etkialanıadı] olanağına tıklayın; burada [etkialanıadı], etki alanınızın adıdır.
Görünüm menüsünde, Hizmet Düğümünü Göster'e tıklayın.
Hizmetler'e ve Ortak Anahtar Hizmetleri'ne çift tıklayın ve aşağıda listelenen her bir kapsayıcıya veya kapsayıcı içinde listelenen nesnelere sağ tıklayın ve Özellikler'e tıklayın.
Güvenlik sekmesinde, gerekli izinleri onaylayın.
Bir CA barındıran bir bilgisayarın gerekli kıldığı tüm Active Directory izinleri aşağıda verilmiştir. Bu izinlerden bazıları, Cert Publishers grubuna üyelik yoluyla elde edilebilir.
Kayıt Hizmetleri kapsayıcısı. CA bilgisayarı, kendi nesnesine yönelik Okuma ve Yazma erişimine sahiptir.
AIA kapsayıcısı. Cert Publishers grubu, AIA kapsayıcısı üzerinde Tam Denetim erişimine sahiptir ve CA bilgisayarı, AIA kapsayıcısı içindeki kendi nesnesi üzerinde Tam Denetim erişimine sahiptir.
CDP kapsayıcısı. Cert Publishers grubu, CDP kapsayıcısı altındaki her bir CA'nın kapsayıcısı üzerinde Tam Denetim erişimine sahiptir ve CA bilgisayarı, kendi kapsayıcısındaki her sertifika iptal listesi (CRL) nesnesi üzerinde Tam Denetim erişimine sahiptir.
Sertifika Yetkilileri kapsayıcısı. Cert Publishers grubu, bu kapsayıcı içindeki nesneler üzerinde Tam Denetim erişimine sahiptir.
Sertifika Şablonları kapsayıcısı. Enterprise Admins ve Domain Admins grupları (CA bilgisayarı değil), bu kapsayıcıya ve içindeki nesnelerin çoğuna yönelik Tam Denetim erişimine veya Okuma ve Yazma erişimine sahiptir.
KRA kapsayıcısı. CA bilgisayarı, kendi nesnesi üzerinde Tam Denetim erişimine sahiptir.
OID kapsayıcısı. Enterprise Admins ve Domain Admins grupları (CA bilgisayarı değil), bu kapsayıcıya ve içindeki kapsayıcılara ve nesnelere yönelik Tam Denetim erişimine veya Okuma ve Yazma erişimine sahiptir.
NTAuthCertificates nesnesi. Enterprise Admins ve Domain Admins grupları (CA bilgisayarı değil), Tam Denetim erişimine veya Okuma ve Yazma erişimine sahiptir.
Etki Alanı Bilgisayarları ve Etki Alanı Kullanıcıları kapsayıcıları. Cert Publishers grubu, AD CS'nin dağıtıldığı ormandaki her kullanıcı ve bilgisayar nesnesinin userCertificate özelliği üzerinde Okuma ve Yazma izinlerine sahiptir.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 106 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.106" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">106</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID4f12f8d124ed4ece99544c9a9730fa37"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>