Servizi certificati: impossibile eliminare un certificato CA da Active Directory.
Servizi certificati Active Directory (AD CS) richiede almeno l'accesso in lettura, e in alcuni casi l'accesso in scrittura, a determinati oggetti di Servizi di dominio Active Directory (AD DS). Il mancato accesso a questi oggetti di Active Directory può impedire l'avvio di Servizi certificati Active Directory.
Abilitazione di Servizi certificati Active Directory all'eliminazione di un certificato CA da Servizi di dominio Active Directory
Per consentire a Servizi certificati Active Directory di eliminare il certificato dell'autorità di certificazione (CA) indicato nel messaggio del registro eventi da Servizi di dominio Active Directory:
Verificare che la CA disponga delle autorizzazioni necessarie per i contenitori e gli oggetti essenziali di Servizi di dominio Active Directory.
Verificare che il certificato CA si trovi nel contenitore AIA.
Verificare lo stato del certificato CA.
Dopo essersi accertati che queste condizioni vengano soddisfatte, eliminare il certificato manualmente.
Per eseguire questa procedura è necessario appartenere al gruppo Domain Admins oppure avere ricevuto in delega l'autorità appropriata sul controller di dominio.
Verificare le autorizzazioni sui contenitori e oggetti essenziali di Servizi di dominio Active Directory
Per verificare che la CA disponga delle autorizzazioni necessarie per i contenitori e gli oggetti di Servizi di dominio Active Directory all'interno di questi contenitori:
Su un controller di dominio, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Siti e servizi di Active Directory.
Fare clic su Siti e servizi di Active Directory [nomedominio], dove [nomedominio] è il nome del proprio dominio.
Nel menu Visualizza, fare clic su Mostra nodo servizi.
Fare doppio clic su Services, fare doppio clic su Public Key Services, fare clic con il pulsante destro del mouse su ogni contenitore elencato di seguito o sugli oggetti elencati all'interno del contenitore, quindi fare clic su Proprietà.
Nella scheda Protezione, verificare le autorizzazioni necessarie.
Di seguito sono riportate tutte le autorizzazioni di Active Directory richieste da un computer su cui si trova una CA. Alcune di queste autorizzazioni vengono ottenute mediante l'appartenenza al gruppo Cert Publishers.
Contenitore servizi di registrazione. Il computer CA dispone di accesso in lettura e in scrittura sul proprio oggetto.
Contenitore AIA. Il gruppo Cert Publishers dispone di accesso con controllo completo sul contenitore AIA; il computer della CA dispone di accesso con controllo completo sul proprio oggetto all'interno del contenitore AIA.
Contenitore CDP. Il gruppo Cert Publishers dispone di accesso con controllo completo su ogni contenitore della CA situato sotto il contenitore CDP; il computer della CA dispone di accesso con controllo completo su ogni oggetto dell'elenco di revoche di certificati (CRL) all'interno del proprio contenitore.
Contenitore Autorità di certificazione. Il gruppo Cert Publishers dispone di accesso con controllo completo sugli oggetti situati all'interno di questo contenitore.
Contenitore Modelli di certificato. I gruppi Enterprise Admins e Domain Admins (non il computer della CA) dispongono di accesso con controllo completo o di accesso in lettura e in scrittura a questo contenitore e alla maggior parte degli oggetti in esso contenuti.
Contenitore Agente di recupero chiavi. Il computer della CA dispone di accesso con controllo completo sul proprio oggetto.
Contenitore Identificatori oggetto. I gruppi Enterprise Admins e Domain Admins (non il computer della CA) dispongono di accesso con controllo completo o di accesso in lettura e in scrittura a questo contenitore e ai contenitori e oggetti in esso contenuti.
Oggetto NTAuthCertificates. I gruppi Enterprise Admins e Domain Admins (non il computer della CA) dispongono di accesso con controllo completo o di accesso in lettura e in scrittura.
Contenitori Computer del dominio e Utenti del dominio. Il gruppo Cert Publishers dispone di autorizzazioni di lettura e scrittura sulla proprietà userCertificate di ogni oggetto utente e computer compreso nella foresta in cui viene distribuito Servizi certificati Active Directory.
Per eseguire queste procedure è necessario disporre dell'autorizzazione Gestione CA oppure avere ricevuto in delega l'autorità appropriata.
Verificare che il certificato CA esista nel contenitore AIA
Per visualizzare il contenuto del contenitore AIA in Servizi di dominio Active Directory:
Aprire una finestra del prompt dei comandi.
Digitare certutil -cainfo e premere INVIO.
Nell'output del comando, prendere nota della proprietà elencata dopo Nome breve puro.
Digitare il seguente comando e premere INVIO: certutil -viewstore ldap:/// CN=<CApersonale>,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?cACertificate?base?objectclass=certificationAuthority
Sostituire MyCA con la proprietà Nome breve puro del passaggio 3 e sostituire contoso e com con il nome distinto LDAP (Lightweight Directory Access Protocol) del proprio dominio radice Active Directory.
Verificare lo stato del certificato CA
Per verificare lo stato del certificato CA indicato nel messaggio del registro eventi:
Aprire una finestra del prompt dei comandi.
Digitare certutil -verify ldap:///CN=<MyCA>,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?cACertificate?base?objectclass=certificationAuthority e premere INVIO.
Se il certificato avrebbe dovuto essere eliminato e non lo è stato, è possibile eliminarlo manualmente mediante la procedura "Eliminazione manuale del certificato CA".
Eliminare manualmente il certificato CA
Per eliminare manualmente il certificato CA:
Aprire una finestra del prompt dei comandi.
Digitare certutil -viewdelstore ldap:///CN=<MyCA>,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?cACertificate?base?objectclass=certificationAuthority e premere INVIO.
Selezionare il certificato CA da eliminare, quindi fare clic su OK.
Per verificare la connessione tra una CA e Servizi di dominio Active Directory (AD DS):
Aprire una finestra del prompt dei comandi sul computer su cui si trova la CA.
Digitare nltest /sc_verify: [nomedominio] e premere INVIO.
Attenersi alla procedura riportata di seguito per verificare le autorizzazioni sui contenitori e gli oggetti essenziali di Servizi di dominio Active Directory.
Sostituire [nomedominio] con il nome dello spazio dei nomi in cui è installata la CA.
Verificare le autorizzazioni sui contenitori e oggetti essenziali di Servizi di dominio Active Directory
Per eseguire questa procedura, è necessario appartenere al gruppo Domain Admins oppure avere ricevuto in delega l'autorità appropriata.
Per verificare che la CA disponga delle autorizzazioni necessarie per i contenitori e gli oggetti di Servizi di dominio Active Directory all'interno di questi contenitori:
Su un controller di dominio, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Siti e servizi di Active Directory.
Fare clic su Siti e servizi di Active Directory [nomedominio], dove [nomedominio] è il nome del proprio dominio.
Nel menu Visualizza, fare clic su Mostra nodo servizi.
Fare doppio clic su Services, fare doppio clic su Public Key Services, fare clic con il pulsante destro del mouse su ogni contenitore elencato di seguito o sugli oggetti elencati all'interno del contenitore, quindi fare clic su Proprietà.
Nella scheda Protezione, verificare le autorizzazioni necessarie.
Di seguito sono riportate tutte le autorizzazioni di Active Directory richieste da un computer su cui si trova una CA. Alcune di queste autorizzazioni vengono ottenute mediante l'appartenenza al gruppo Cert Publishers.
Contenitore servizi di registrazione. Il computer CA dispone di accesso in lettura e in scrittura sul proprio oggetto.
Contenitore AIA. Il gruppo Cert Publishers dispone di accesso con controllo completo sul contenitore AIA; il computer della CA dispone di accesso con controllo completo sul proprio oggetto all'interno del contenitore AIA.
Contenitore CDP. Il gruppo Cert Publishers dispone di accesso con controllo completo su ogni contenitore della CA situato sotto il contenitore CDP; il computer della CA dispone di accesso con controllo completo su ogni oggetto dell'elenco di revoche di certificati (CRL) all'interno del proprio contenitore.
Contenitore Autorità di certificazione. Il gruppo Cert Publishers dispone di accesso con controllo completo sugli oggetti situati all'interno di questo contenitore.
Contenitore Modelli di certificato. I gruppi Enterprise Admins e Domain Admins (non il computer della CA) dispongono di accesso con controllo completo o di accesso in lettura e in scrittura a questo contenitore e alla maggior parte degli oggetti in esso contenuti.
Contenitore Agente di recupero chiavi. Il computer della CA dispone di accesso con controllo completo sul proprio oggetto.
Contenitore Identificatori oggetto. I gruppi Enterprise Admins e Domain Admins (non il computer della CA) dispongono di accesso con controllo completo o di accesso in lettura e in scrittura a questo contenitore e ai contenitori e oggetti in esso contenuti.
Oggetto NTAuthCertificates. I gruppi Enterprise Admins e Domain Admins (non il computer della CA) dispongono di accesso con controllo completo o di accesso in lettura e in scrittura.
Contenitori Computer del dominio e Utenti del dominio. Il gruppo Cert Publishers dispone di autorizzazioni di lettura e scrittura sulla proprietà userCertificate di ogni oggetto utente e computer compreso nella foresta in cui viene distribuito Servizi certificati Active Directory.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 107 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.107" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">107</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID62fe9963ca0840238c71200c88d2958c"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>