Certifikační služba nemůže odstranit certifikát CA z adresáře služby Active Directory.
Služba AD CS (Active Directory Certificate Services) vyžaduje nejméně oprávnění ke čtení, a v některých případech oprávnění k zápisu, pro určité objekty služby AD DS (Active Directory Domain Services). Chyba při přístupu k těmto objektům adresářové služby Active Directory může bránit spuštění služby AD CS.
Umožněte službě AC CS, aby odstranila certifikát certifikační autority ze služby Active Directory Domain Services
Postup, jak službě AD CS (Active Directory Certificate Services) umožnit odstranění certifikátu certifikační autority (CA) identifikovaného ve zprávě protokolu událostí ze služby AD DS (Active Directory Domain Services):
Zkontrolujte, zda má certifikační autorita potřebná oprávnění k důležitým kontejnerům a objektům služby AD DS.
Zkontrolujte, zda se v kontejneru přístupu k informacím autority nachází certifikát certifikační autority.
Zkontrolujte stav certifikátu certifikační autority.
Po splnění těchto podmínek odstraňte certifikát ručně.
Abyste mohli provést tento postup, musíte být členem skupiny Správci domény, nebo musíte mít přiděleno příslušné oprávnění pro řadič domény.
Zkontrolujte oprávnění u důležitých kontejnerů a objektů služby AD DS
Postup kontroly, zda má certifikační autorita v rámci kontejnerů a objektů služby AD DS nezbytná oprávnění:
Na řadiči domény klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Lokality a služby Active Directory.
Klikněte na Lokality a služby Active Directory [název_domény], kde [název_domény] je názvem vaší domény.
V nabídce Zobrazení klikněte na Zobrazit uzel služeb.
Dvakrát klikněte na Služby, dvakrát klikněte na Služby veřejného klíče a klikněte pravým tlačítkem na každý kontejner uvedený níže, nebo na objekty v kontejneru, a klikněte na Vlastnosti.
Na kartě Zabezpečení zkontrolujte požadovaná oprávnění.
Níže jsou uvedena všechna oprávnění požadovaná počítačem hostujícím certifikační autoritu. Některá z těchto oprávnění jsou získána díky členství ve skupině Cert Publishers.
Kontejner Služby zápisu. Počítač certifikační autority má oprávnění ke čtení a zápisu ke svému vlastnímu objektu.
Kontejner Přístupu k informacím autority. Skupina Cert Publishers má přístup s úplným řízením ke kontejneru přístupu k informacím autority a počítač certifikační autority má přístup s úplným řízením ke svému vlastnímu objektu v rámci kontejneru přístupu k informacím autority.
Kontejner Distribuční místo seznamu CRL (CDP). Skupina Cert Publishers má přístup s úplným řízením ke každému kontejneru certifikační autority v rámci kontejneru distribučního místa seznamu CRL a počítač certifikační autority má přístup s úplným řízením ke každému objektu seznamu odvolaných certifikátů (CRL) ve svém vlastním kontejneru.
Kontejner Certifikační autority. Skupina Cert Publishers má přístup s úplným řízením k objektům v tomto kontejneru.
Kontejner Šablony certifikátů. Skupiny Enterprise Admins a Domain Admins (nikoli počítač certifikační autority) mají přístup s úplným řízením nebo oprávnění ke čtení či zápisu k tomuto kontejneru a k většině jeho objektů.
Kontejner Agenta obnovení klíčů (KRA). Počítač certifikační autority má přístup s úplným řízením ke svému vlastnímu objektu.
Kontejner OID. Skupiny Enterprise Admins a Domain Admins, nikoli počítač certifikační autority, mají přístup s úplným řízením nebo oprávnění ke čtení či zápisu k tomuto kontejneru a k v něm obsaženým kontejnerům a objektům.
Objekt NTAuthCertificates. Skupiny Enterprise Admins a Domain Admins, nikoli počítač certifikační autority, mají přístup s úplným řízením nebo oprávnění ke čtení či zápisu.
Kontejner Doménové počítače a Uživatelé domény. Skupina Cert Publishers má oprávnění ke čtení a zápisu pro vlastnost userCertficate u každého uživatele a objektu počítače v doménové struktuře, do níž je nasazena služba AD CS.
Abyste mohli provést tyto postupy, musíte mít oprávnění pro správu certifikační autority, nebo musíte mít přiděleno příslušné oprávnění.
Zkontrolujte, zda se v kontejneru přístupu k informacím autority nachází certifikát certifikační autority
Postup zobrazení obsahu kontejneru přístupu k informacím autority ve službě AD DS:
Otevřete okno příkazového řádku.
Zadejte příkaz certutil -cainfo a stiskněte klávesu ENTER.
Ve výstupu příkazu si zaznamenejte vlastnost uvedenou za upraveným krátkým názvem.
Zadejte následující příkaz a stiskněte ENTER: certutil -viewstore ldap:/// CN=<MyCA>,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?cACertificate?base?objectclass=certificationAuthority
Nahraďte MyCA vlastností Upravený zkrácený název z kroku 3 a contoso a com nahraďte rozlišujícím názvem protokolu LDAP (Lightweight Directory Access Protocol) vaší kořenové domény služby Active Directory.
Zkontrolujte stav certifikátu certifikační autority
Postup kontroly stavu certifikátu certifikační autority identifikovaného ve zprávě protokolu událostí:
Otevřete okno příkazového řádku.
Napište certutil -verify ldap:///CN=<MyCA>,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?cACertificate?base?objectclass=certificationAuthority a stiskněte ENTER.
Pokud měl být certifikát odstraněn, ale k odstranění nedošlo, můžete jej odstranit ručně pomocí postupu "Ruční odstranění certifikátu certifikační autority".
Ručně odstraňte certifikát certifikační autority
Postup ručního odstranění certifikátu certifikační autority:
Otevřete okno příkazového řádku.
Napište certutil -viewdelstore ldap:///CN=<MyCA>,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?cACertificate?base?objectclass=certificationAuthority a stiskněte ENTER.
Vyberte certifikát certifikační autority, který chcete odstranit, a klikněte na tlačítko OK.
Postup kontroly připojení mezi certifikační autoritou a službou Active Directory Domain Services (AD DS):
Otevřete okno příkazového řádku na počítači hostujícím certifikační autoritu.
Zadejte příkaz nltest /sc_verify: [název_domény] a stiskněte ENTER.
Pomocí následujícího postupu zkontrolujte oprávnění k důležitým kontejnerům a objektům služby AD DS.
[název_domény] nahraďte názvem z oboru názvů, v němž je nainstalována certifikační autorita.
Zkontrolujte oprávnění u důležitých kontejnerů a objektů služby AD DS
Abyste mohli provést tento postup. musíte být členem skupiny Správci domény, nebo musíte mít přiřazené příslušné oprávnění.
Postup kontroly, zda má certifikační autorita v rámci kontejnerů a objektů služby AD DS nezbytná oprávnění:
Na řadiči domény klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Lokality a služby Active Directory.
Klikněte na Lokality a služby Active Directory [název_domény], kde [název_domény] je názvem vaší domény.
V nabídce Zobrazení klikněte na Zobrazit uzel služeb.
Dvakrát klikněte na Služby, dvakrát klikněte na Služby veřejného klíče a klikněte pravým tlačítkem na každý kontejner uvedený níže, nebo na objekty v kontejneru, a klikněte na Vlastnosti.
Na kartě Zabezpečení zkontrolujte požadovaná oprávnění.
Níže jsou uvedena všechna oprávnění požadovaná počítačem hostujícím certifikační autoritu. Některá z těchto oprávnění jsou získána díky členství ve skupině Cert Publishers.
Kontejner Služby zápisu. Počítač certifikační autority má oprávnění ke čtení a zápisu ke svému vlastnímu objektu.
Kontejner Přístupu k informacím autority. Skupina Cert Publishers má přístup s úplným řízením ke kontejneru přístupu k informacím autority a počítač certifikační autority má přístup s úplným řízením ke svému vlastnímu objektu v rámci kontejneru přístupu k informacím autority.
Kontejner Distribuční místo seznamu CRL (CDP). Skupina Cert Publishers má přístup s úplným řízením ke každému kontejneru certifikační autority v rámci kontejneru distribučního místa seznamu CRL a počítač certifikační autority má přístup s úplným řízením ke každému objektu seznamu odvolaných certifikátů (CRL) ve svém vlastním kontejneru.
Kontejner Certifikační autority. Skupina Cert Publishers má přístup s úplným řízením k objektům v tomto kontejneru.
Kontejner Šablony certifikátů. Skupiny Enterprise Admins a Domain Admins (nikoli počítač certifikační autority) mají přístup s úplným řízením nebo oprávnění ke čtení či zápisu k tomuto kontejneru a k většině jeho objektů.
Kontejner Agenta obnovení klíčů (KRA). Počítač certifikační autority má přístup s úplným řízením ke svému vlastnímu objektu.
Kontejner OID. Skupiny Enterprise Admins a Domain Admins, nikoli počítač certifikační autority, mají přístup s úplným řízením nebo oprávnění ke čtení či zápisu k tomuto kontejneru a k v něm obsaženým kontejnerům a objektům.
Objekt NTAuthCertificates. Skupiny Enterprise Admins a Domain Admins, nikoli počítač certifikační autority, mají přístup s úplným řízením nebo oprávnění ke čtení či zápisu.
Kontejner Doménové počítače a Uživatelé domény. Skupina Cert Publishers má oprávnění ke čtení a zápisu pro vlastnost userCertficate u každého uživatele a objektu počítače v doménové struktuře, do níž je nasazena služba AD CS.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 107 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.107" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">107</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID62fe9963ca0840238c71200c88d2958c"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>