Certifikattjänster kunde inte ta bort ett CA-certifikat från Active Directory.
Active Directory-certifikattjänster (AD CS) kräver minst läsbehörighet, och i vissa fall skrivbehörighet, för vissa objekt i Active Directory Domain Services (AD DS). Utan åtkomst till dessa Active Directory-objekt kanske AD CS inte kan starta.
Aktivera AD CS för att ta bort ett CA-certifikat från Active Directory Domain Services
Aktivera Active Directory-certifikattjänster (AD CS) för att ta bort certifikatutfärdarcertifikatet som identifierades i händelseloggmeddelandet från Active Directory Domain Services (AD DS):
Bekräfta att certifikatutfärdaren har viktiga behörigheter för nödvändiga AD DS-behållare och -objekt.
Bekräfta att CA-certifikatet finns i AIA-behållaren.
Bekräfta CA-certifikatets status.
Ta bort certifikatet manuellt när dessa tillstånd har åtgärdats.
För att kunna utföra denna procedur måste du vara medlem i Domänadministratörer, eller ha tilldelats lämplig auktoritet för domänkontrollanten.
Bekräfta behörigheter för nödvändiga AD DS-behållare och -objekt.
Bekräfta att certifikatutfärdaren har nödvändiga behörigheter för AD DS-behållare och objekt i dessa behållare:
Klicka på Start på domänkontrollanten, peka på Administrationsverktyg och klicka på Active Directory-platser och -tjänster.
Klicka på Active Directory-platser och -tjänster [domännamn] där [domännamn] är namnet på ditt domän.
Klicka på Visa noden Tjänster i Visa-menyn.
Dubbelklicka på Tjänster, dubbelklicka på Public Key Services och högerklicka på varje behållare som visas nedan, eller på objekten som visas i behållarna och klicka på Egenskaper.
Bekräfta de nödvändiga behörigheterna på fliken Säkerhet.
Följande är Active Directory-behörigheter som krävs för en dator som kör en certifikatutfärdare. Vissa av dessa behörigheter kommer från medlemskap i gruppen Certifikatpublicerare.
Behållare för registreringstjänster. CA-datorn har läs- och skrivbehörighet för sina egna objekt.
AIA-behållare. Gruppen Certifikatpublicerare har fullständig behörighet för AIA-behållaren och CA-datorn har fullständig behörighet för sina egna objekt i AIA-behållaren.
CDP-behållare. Gruppen Certifikatpublicerare har fullständig behörighet för alla certifikatutfärdares behållare under CDP-behållaren och CA-datorn har fullständig behörighet för varje objekt för listor över återkallade certifikat i sina egna behållare.
Behållare för certifikatutfärdare. Gruppen Certifikatpublicerare har fullständig behörighet för objekt i den här behållaren.
Behållare för certifikatmallar. Grupperna Företagsadministratörer och Domänadministratörer (inte CA-datorn) har fullständig behörighet eller läs- och skrivbehörighet till den här behållaren och till de flesta objekten i den.
KRA-behållare. CA-datorn har fullständig behörighet till sina egna objekt.
OID-behållare. Grupperna Företagsadministratörer och Domänadministratörer (inte CA-datorn) har fullständig behörighet eller läs- och skrivbehörighet till den här behållaren och till behållarna och objekten i den.
NTAuthCertificates-objekt. Grupperna Företagsadministratörer och Domänadministratörer, inte CA-datorn, har fullständig behörighet eller läs- och skrivbehörighet.
Behållare för domändatorer och domänanvändare. Gruppen Certifikatpublicerare har läs- och skrivbehörigheter för userCertificate-egenskapen för varje användar- och datorobjekt i skogen där AD CS driftsätts.
För att kunna utföra dessa procedurer måste du ha behörighet att hantera certifikatutfärdare, eller ha tilldelats lämplig auktoritet.
Bekräfta att CA-certifikatet finns i AIA-behållaren
Visa innehållet i AIA-behållaren i AD DS:
Öppna ett kommandotolkfönster.
Skriv certutil -cainfo och tryck på RETUR.
Notera egenskapen som visas efter Språkoberoende kort namn i kommandots utdata.
Skriv följande kommando och tryck på RETUR: certutil -viewstore ldap:/// CN=<MyCA>,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?cACertificate?base?objectclass=certificationAuthority
Ersätt MyCA med den språkoberoende korta namn-egenskapen från steg 3 och ersätt contoso och com med det Lightweight Directory Access Protocol (LDAP)-unika namnet för Active Directory-rotdomänen.
Bekräfta CA-certifikatets status
Bekräfta statusen för CA-certifikatet som identifierats i händelseloggmeddelandet:
Öppna ett kommandotolkfönster.
Skriv certutil -verify ldap:///CN=<MyCA>,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?cACertificate?base?objectclass=certificationAuthority och tryck på RETUR.
Om certifikatet skulle ha tagits bort och inte blev det, kan du ta bort det manuellt med proceduren Ta bort CA-certifikatet manuellt.
Ta bort CA-certifikatet manuellt
Ta bort CA-certifikatet manuellt:
Öppna ett kommandotolkfönster.
Skriv certutil -viewdelstore ldap:///CN=<MyCA>,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?cACertificate?base?objectclass=certificationAuthority och tryck på RETUR.
Markera CA-certifikatet som ska tas bort och klicka på OK.
Kontrollera anslutningen mellan en CA och Active Directory Domain Services (AD DS):
Öppna ett kommandotolkfönster på datorn som kör certifikatutfärdaren.
Skriv nltest /sc_verify: [domainname] och tryck på RETUR.
Använd följande procedur för att bekräfta behörigheter för nödvändiga AD DS-behållare och -objekt.
Ersätt [domännamn] med namnet för den namnrymd där certifikatutfärdaren är installerad.
Bekräfta behörigheter för nödvändiga AD DS-behållare och -objekt.
För att kunna utföra denna procedur måste du vara medlem i Domänadministratörer, eller ha tilldelats lämplig auktoritet.
Bekräfta att certifikatutfärdaren har nödvändiga behörigheter för AD DS-behållare och objekt i dessa behållare:
Klicka på Start på domänkontrollanten, peka på Administrationsverktyg och klicka på Active Directory-platser och -tjänster.
Klicka på Active Directory-platser och -tjänster [domännamn] där [domännamn] är namnet på ditt domän.
Klicka på Visa noden Tjänster i Visa-menyn.
Dubbelklicka på Tjänster, dubbelklicka på Public Key Services och högerklicka på varje behållare som visas nedan, eller på objekten som visas i behållarna och klicka på Egenskaper.
Bekräfta de nödvändiga behörigheterna på fliken Säkerhet.
Följande är Active Directory-behörigheter som krävs för en dator som kör en certifikatutfärdare. Vissa av dessa behörigheter kommer från medlemskap i gruppen Certifikatpublicerare.
Behållare för registreringstjänster. CA-datorn har läs- och skrivbehörighet för sina egna objekt.
AIA-behållare. Gruppen Certifikatpublicerare har fullständig behörighet för AIA-behållaren och CA-datorn har fullständig behörighet för sina egna objekt i AIA-behållaren.
CDP-behållare. Gruppen Certifikatpublicerare har fullständig behörighet för alla certifikatutfärdares behållare under CDP-behållaren och CA-datorn har fullständig behörighet för varje objekt för listor över återkallade certifikat i sina egna behållare.
Behållare för certifikatutfärdare. Gruppen Certifikatpublicerare har fullständig behörighet för objekt i den här behållaren.
Behållare för certifikatmallar. Grupperna Företagsadministratörer och Domänadministratörer (inte CA-datorn) har fullständig behörighet eller läs- och skrivbehörighet till den här behållaren och till de flesta objekten i den.
KRA-behållare. CA-datorn har fullständig behörighet till sina egna objekt.
OID-behållare. Grupperna Företagsadministratörer och Domänadministratörer (inte CA-datorn) har fullständig behörighet eller läs- och skrivbehörighet till den här behållaren och till behållarna och objekten i den.
NTAuthCertificates-objekt. Grupperna Företagsadministratörer och Domänadministratörer, inte CA-datorn, har fullständig behörighet eller läs- och skrivbehörighet.
Behållare för domändatorer och domänanvändare. Gruppen Certifikatpublicerare har läs- och skrivbehörigheter för userCertificate-egenskapen för varje användar- och datorobjekt i skogen där AD CS driftsätts.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 107 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.107" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">107</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID62fe9963ca0840238c71200c88d2958c"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>