Servizi certificati Active Directory: impossibile eliminare un certificato per la richiesta dal percorso specificato.
Una delle funzioni principali di un'autorità di certificazione (CA) è quella di valutare le richieste di certificati da parte dei client e, se sono soddisfatti i criteri predefiniti, rilasciare certificati a tali client. Affinché la registrazione del certificato venga eseguita correttamente, occorre che sia presente un certo numero di elementi prima dell'invio della richiesta, compresa una CA dotata di certificato CA valido, modelli di certificato configurati correttamente, account dei client, richieste di certificato e un metodo mediante il quale il client può inviare la richiesta alla CA, ottenerne la convalida e installare il certificato emesso.
Eliminare manualmente il certificato
Verificare di disporre di accesso mediante rete al percorso in cui è memorizzato il certificato.
Tentare di eliminare il certificato indicato nel messaggio del registro eventi utilizzando una delle procedure seguenti.
Se è stata verificata la presenza di connettività di rete e comunque non si riesce a eliminare il certificato, verificare le autorizzazioni nei contenitori Utenti del dominio e Computer del dominio in Servizi di dominio Active Directory prima di tentare nuovamente di eliminare il certificato.
Per eseguire queste procedure è necessario disporre dell'autorizzazione Gestione CA oppure avere ricevuto in delega l'autorità appropriata.
Eliminare un certificato
Per eliminare un certificato usando lo snap-in Certificati:
Verificare che il certificato da eliminare sia disponibile nel percorso indicato nel messaggio del registro eventi.
Se non si riesce ad accedere a questo percorso a causa di un problema di connessione, risolvere il problema e riprovare.
Fare clic su Start, digitare mmc, quindi premere INVIO.
Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata, quindi fare clic su Continua.
Nel menu File fare clic su Aggiungi/Rimuovi snap-in, fare clic su Certificati, quindi fare clic su Aggiungi.
Selezionare l'utente, il servizio o l'account computer e fare clic su Avanti.
Per eliminare un certificato per un computer o un servizio, individuare il computer o il servizio. Fare clic su Fine, quindi fare clic su OK.
Selezionare l'archivio certificati in cui si trova il certificato da eliminare.
Fare clic con il pulsante destro del mouse sul certificato da eliminare, quindi fare clic su Elimina.
Quando viene chiesto se si desidera eliminare il certificato, fare clic su Sì.
È inoltre possibile rimuovere un certificato non valido utilizzando lo strumento della riga di comando Certutil.
Per eliminare un certificato usando Certutil:
Aprire una finestra del prompt dei comandi.
Digitare certutil -viewdelstore <percorso di rete specificato nel messaggio del log eventi> e premere INVIO.
Selezionare il certificato da eliminare, quindi fare clic su OK.
Se ancora non si è in grado di eliminare il certificato, attenersi alla procedura indicata nella sezione "Verifica delle autorizzazioni per i contenitori Computer del dominio e Utenti del dominio in Servizi di dominio Active Directory" per verificare che il computer su cui si trova l'autorità di certificazione (CA) disponga di autorizzazioni di lettura e scrittura per il percorso specificato nel messaggio di errore.
Verificare le autorizzazioni per i contenitoriComputer del dominio e Utenti del dominio in Servizi di dominio Active Directory
Per verificare che la CA disponga delle autorizzazioni necessarie per i contenitori Computer del dominio e Utenti del dominio:
Sul computer su cui si trova la CA, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Siti e servizi di Active Directory.
Nel menu Visualizza, fare clic su Mostra nodo servizi.
Fare doppio clic su Services, fare doppio clic su Public Key Services, fare clic con il pulsante destro del mouse su Computer del dominio, quindi fare clic su Proprietà.
Nella scheda Protezione, verificare che il gruppo Cert Publishers disponga di autorizzazioni di lettura e scrittura.
Fare clic con il pulsante destro del mouse su Utenti del dominio, quindi fare clic su Proprietà.
Nella scheda Protezione, verificare che il gruppo Cert Publishers disponga di autorizzazioni di lettura e scrittura.
Per verificare il corretto funzionamento dell'elaborazione delle richieste di certificati:
Fare clic su Start, digitare certmgr.msc, quindi premere INVIO.
Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata, quindi fare clic su Continua.
Nell'albero della console fare doppio clic su Personale, quindi fare clic su Certificati.
Nel menu Azione, scegliere Tutte le attività, quindi fare clic su Richiedi nuovo certificato per avviare la procedura guidata di registrazione certificato.
Utilizzare la procedura guidata per creare e inviare una richiesta di certificato per qualsiasi tipo di certificato disponibile.
In Risultati installazione certificati, verificare che la registrazione venga completata correttamente e che non vengano segnalati errori. È anche possibile fare clic su Dettagli per visualizzare ulteriori informazioni sul certificato.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 108 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.108" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">108</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
</WriteActions>
</Rule>