Active Directory 憑證服務無法從指定的位置刪除要求的憑證。
憑證授權單位 (CA) 的其中一個主要功能是評估用戶端的憑證要求,並且如果符合預先定義的準則,則對該用戶端發行憑證。為了成功註冊憑證,一些要素必須在提交要求前準備就緒,包括具有有效 CA 憑證的 CA;正確設定的憑證範本、用戶端帳戶和憑證要求;以及用戶端提交要求至 CA 的方式,要求必須經過驗證並安裝發行的憑證。
手動刪除憑證
確認您擁有憑證儲存位置的網路存取權限。
透過使用下列其中一項程序,嘗試刪除事件記錄檔訊息中提到的憑證。
如果確認您已連線網路,但仍然無法刪除憑證,請先確認 Active Directory 網域服務 (AD DS) 中網域使用者和網域電腦容器的權限,然後再次嘗試刪除憑證。
若要執行這些程序,您必須擁有管理 CA 權限,或者必須已被委派適當的權限。
刪除憑證
若要使用 [憑證] 嵌入式管理單元刪除憑證:
確認事件記錄檔訊息中確認的位置存在您要刪除的憑證。
如果您因為連線問題而無法存取該位置,請先修正此問題,然後再試一次。
按一下 [開始] 並輸入 mmc,然後按 ENTER。
當 [使用者帳戶控制] 對話方塊出現時,請確認其中顯示的動作即是您要執行的動作,然後按一下 [繼續]。
在 [檔案] 功能表上,依序按一下 [新增/移除嵌入式管理單元]、[憑證] 和 [新增]。
選取使用者、服務或電腦帳戶,然後按 [下一步]。
如果您要刪除電腦或服務的憑證,請確認電腦或服務。依序按一下 [完成] 和 [確定]。
選取您要刪除的憑證所在的憑證存放區。
在您要刪除的憑證上按一下滑鼠右鍵,然後按一下 [刪除]。
當系統詢問您是否要刪除該憑證時,按一下 [是]。
您也可以使用 Certutil 命令列工具,來移除無效的憑證。
若要使用 Certutil 刪除憑證:
開啟命令提示字元視窗。
輸入 certutil -viewdelstore <事件記錄檔訊息中指定的網路位置>,然後按 ENTER。
選取要刪除的憑證,然後按一下 [確定]。
如果您仍然無法刪除憑證,請依照「確認 Active Directory 網域服務中網域使用者和網域電腦容器的權限」一節中的程序,確認主控憑證授權單位 (CA) 的電腦對錯誤訊息中指定的位置具有讀取與寫入權限。
確認對 Active Directory 網域服務中Domain Computers 和 Domain Users 容器的權限
若要確認 CA 對 Domain Computers 和 Domain Users 容器具有必要權限:
在主控 CA 的電腦上,按一下 [開始],指向 [系統管理工具],然後按一下 [Active Directory 站台及服務]。
在 [檢視] 功能表上,按一下 [顯示服務節點]。
依序按兩下 [Services] 和 [Public Key Services],然後在 [網域電腦] 上按一下滑鼠右鍵,再按一下 [內容]。
在 [安全性] 索引標籤上,確認 Cert Publishers 群組具有讀取與寫入權限。
在 [網域使用者] 上按一下滑鼠右鍵,然後按一下 [內容]。
在 [安全性] 索引標籤上,確認 Cert Publishers 群組具有讀取與寫入權限。
若要確認憑證要求處理是否正確運作:
按一下 [開始] 並輸入 certmgr.msc,然後按 ENTER。
當 [使用者帳戶控制] 對話方塊出現時,請確認其中顯示的動作即是您要執行的動作,然後按一下 [繼續]。
在主控台樹狀目錄中,按兩下 [個人],然後按一下 [憑證]。
在 [動作] 功能表上,指向 [所有工作],然後按一下 [要求新憑證] 以啟動 [憑證註冊精靈]。
針對任何類型的可用憑證使用精靈來建立和提交憑證要求。
在 [憑證安裝結果] 底下,確認註冊成功完成,並且沒有報告任何錯誤。您也可以按一下 [詳細資料] 以檢視憑證的其他資訊。
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 108 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.108" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">108</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
</WriteActions>
</Rule>