Služba AD CS (Active Directory Certificate Services) nemohla odstranit certifikát pro žádost ze specifikovaného umístění.
Jednou z primárních funkcí certifikační autority (CA) je vyhodnocování žádostí o certifikát od klientů, a pokud jsou splněna předdefinovaná kritéria, vydávání certifikátů těmto klientům. Má-li zápis certifikátu proběhnout úspěšně, musí být před odesláním žádosti k dispozici řada prvků včetně certifikační autority s platným certifikátem certifikační autority, řádně nakonfigurované šablony certifikátů, klientských účtů a žádostí o certifikát; musí existovat způsob k odeslání žádosti klientem na certifikační autoritu, ověření žádosti a instalaci vystaveného certifikátu.
Odstraňte certifikát ručně
Zkontrolujte, zda máte síťový přístup k umístění, kde je uložen certifikát.
Pokuste se odstranit certifikát uvedený ve zprávě protokolu událostí jedním z následujících postupů.
Pokud zjistíte, že máte přístup k síti, ale přesto nemůžete certifikát odstranit, zkontrolujte oprávnění ke kontejnerům Uživatelé domény a Doménové počítače ve službě Active Directory Domain Services (AD DS) a poté se pokuste certifikát odstranit znovu.
Abyste mohli provést tyto postupy, musíte mít oprávnění pro správu certifikační autority, nebo musíte mít přiděleno příslušné oprávnění.
Odstraňte skupinu
Postup odstranění certifikátu pomocí modulu snap-in Certifikáty:
Zkontrolujte, zda v umístění identifikovaném ve zprávě protokolu událostí existuje certifikát, který chcete odstranit.
Pokud nemáte přístup k tomuto umístění kvůli potížím s připojením, odstraňte tento problém a pokus zopakujte.
Klikněte na tlačítko Start, zadejte mmc a stiskněte klávesu ENTER.
Pokud se otevře dialogové okno Řízení uživatelských účtů, zkontrolujte, jestli zobrazená akce odpovídá vašemu požadavku, a pak klikněte na Pokračovat.
V nabídce Soubor klikněte na možnost Přidat nebo odebrat modul snap-in, klikněte na Certifikáty a poté na Přidat.
Vyberte uživatele, službu nebo účet počítače a klikněte na Další.
Chcete-li odstranit certifikát pro počítač nebo službu, identifikujte počítač nebo službu. Klikněte na Dokončit a poté na tlačítko OK.
Vyberte úložiště certifikátů, v němž se nachází certifikát, který chcete odstranit.
Klikněte pravým tlačítkem na certifikát, který chcete povolit, a poté na tlačítko Odstranit.
Když se zobrazí dotaz, zda chcete odstranit tento certifikát, klikněte na Ano.
Neplatný certifikát lze rovněž odebrat pomocí nástroje pro příkazový řádek Certutil.
Postup odstranění certifikátu pomocí nástroje Certutil:
Otevřete okno příkazového řádku.
Napište certutil -viewdelstore <síťové umístění uvedené ve zprávě protokolu událostí> a stiskněte ENTER.
Vyberte certifikát, který chcete odstranit, a klikněte na tlačítko OK.
Pokud stále nemůžete certifikát odstranit, pomocí postupu v části "Kontrola oprávnění ke kontejnerům Doménové počítače a Uživatelé domény ve službě Active Directory Domain Services (AD DS)" zkontrolujte, zda má počítač hostující certifikační autoritu (CA) oprávnění ke čtení a zápisu k umístění specifikovanému v chybové zprávě.
Kontrola oprávnění ke kontejnerům Doménové počítače a Uživatelé domény ve službě Active Directory Domain Services
Postup kontroly, zda má certifikační autorita potřebná oprávnění ke kontejnerům Doménové počítače a Uživatelé domény:
Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Lokality a služby Active Directory.
V nabídce Zobrazení klikněte na Zobrazit uzel služeb.
Dvakrát klikněte na Služby, dvakrát klikněte na Služby veřejného klíče, klikněte pravým tlačítkem na Počítače domény a klikněte na Vlastnosti.
Na kartě Zabezpečení zkontrolujte, zda má skupina Cert Publishers oprávnění ke čtení a zápisu.
Klikněte pravým tlačítkem na Uživatelé domény a klikněte na Vlastnosti.
Na kartě Zabezpečení zkontrolujte, zda má skupina Cert Publishers oprávnění ke čtení a zápisu.
Postup kontroly správného zpracovávání žádostí o certifikát:
Klikněte na tlačítko Start, zadejte certmgr.msc a stiskněte klávesu ENTER.
Pokud se otevře dialogové okno Řízení uživatelských účtů, zkontrolujte, jestli zobrazená akce odpovídá vašemu požadavku, a pak klikněte na Pokračovat.
Ve stromu konzoly dvakrát klikněte na položku Osobní a poté klikněte na Certifikáty.
V nabídce Akce přesuňte ukazatel na možnost Všechny úlohy a kliknutím na Požádat o nový certifikát spusťte Průvodce zápisem certifikátu.
Průvodce slouží k vytvoření a odeslání žádosti o certifikát pro jakýkoli dostupný typ certifikátu.
V oblasti Výsledky instalace certifikátu zkontrolujte, zda byl zápis úspěšně dokončen a nejsou hlášeny chyby. Můžete rovněž kliknout na Podrobnosti a zobrazit doplňkové informace o certifikátu.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 108 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.108" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">108</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
</WriteActions>
</Rule>