Службам сертификации Active Directory не удалось удалить сертификат для запроса из указанного размещения и сервера.
Одной из основных функций центра сертификации (ЦС) является оценка запросов на сертификаты от клиентов и выдача сертификатов для этих клиентов в случае соответствия запросов предопределенным критериям. Для успешной регистрации сертификата перед отправкой запроса необходимо наличие нескольких элементов. К ним относятся ЦС с действительным сертификатом ЦС, правильно настроенные шаблоны сертификатов, учетные записи клиентов и запросы на сертификаты, а также возможность отправки клиентом запроса в ЦС, проверки запроса и установки выданного сертификата.
Удаление сертификата вручную
Проблемы подключения или отсутствия прав могут воспрепятствовать удалению сертификата. Для решения проблемы выполните следующее.
Убедитесь в том, что у вас есть доступ к расположению в сети, в котором сохранен сертификат.
Удалите сертификат, указанный в сообщении журнала событий, одним из перечисленных способов.
Если вы подтвердили наличие сетевого подключения, но сертификат удалить не удается, перед дальнейшими попытками удалить сертификат проверьте разрешения на контейнеры пользователей домена и доменных компьютеров в доменных службах Active Directory.
Для выполнения этих процедур необходимо иметь разрешение на управление ЦС либо обладать соответствующими делегированными полномочиями.
Удаление сертификата
Чтобы удалить сертификат с помощью оснастки "Сертификаты", выполните следующие действия.
Убедитесь в том, что сертификат, который необходимо удалить, существует в расположении, указанном в сообщении журнала событий.
Если из-за проблемы с подключением получить доступ к этому расположению не удается, повторите попытку после решения проблемы.
Нажмите кнопку "Пуск", введите "mmc", а затем нажмите клавишу ВВОД.
Если появляется диалоговое окно "Контроль учетных записей пользователей", убедитесь, что вам необходимо именно указанное в нем действие, и нажмите кнопку "Продолжить".
В меню "Файл" щелкните "Добавить или удалить оснастку", щелкните "Сертификаты", а затем — "Добавить".
Выберите учетную запись пользователя, службы или компьютера и щелкните "Далее".
Если необходимо удалить сертификат для компьютера или службы, определите компьютер или службу. Щелкните "Готово" и "OK".
Выберите хранилище сертификатов, содержащее сертификат, который необходимо удалить.
Правой кнопкой мыши щелкните сертификат, который необходимо удалить, и щелкните "Удалить".
При запросе подтверждения удаления сертификата щелкните "Да".
Недействительный сертификат можно также удалить с помощью программы командной строки Certutil.
Удаление сертификата с помощью Certutil
Откройте окно командной строки.
Введите certutil -viewdelstore <сетевое расположение из сообщения журнала событий> и нажмите ВВОД.
Выберите сертификат, который необходимо удалить, и щелкните "OK".
Если удалить сертификат все же не удается, выполните процедуру раздела "Подтверждение разрешения на контейнеры доменных компьютеров и пользователей домена в доменных службах Active Directory", чтобы убедиться в том, что компьютер, на котором размещен ЦС, имеет разрешения на чтение и запись для расположения, указанного в сообщении об ошибке.
Проверка наличия разрешений на контейнеры Компьютеры домена и Пользователи доменав службах Active Directory
Чтобы подтвердить наличие у ЦС необходимых разрешений на контейнеры "Компьютеры домена" и "Пользователи домена", выполните следующие действия.
На компьютере, на котором размещен ЦС, нажмите кнопку "Пуск", выберите "Администрирование", затем щелкните "Службы и узлы Active Directory".
В меню "Просмотр" щелкните "Показать узел служб".
Дважды щелкните Services, дважды щелкните Public Key services, правой кнопкой мыши щелкните "Доменные компьютеры", затем щелкните "Свойства".
На вкладке "Безопасность" подтвердите наличие у группы издателей сертификатов разрешений на чтение и запись.
Правой кнопкой мыши щелкните "Пользователи домена", затем щелкните "Свойства".
На вкладке "Безопасность" подтвердите наличие у группы издателей сертификатов разрешений на чтение и запись.
Чтобы проверить правильность обработки запроса на сертификат, выполните следующие действия.
Нажмите кнопку Пуск, введите certmgr.msc, а затем нажмите клавишу ВВОД.
Если появляется диалоговое окно Контроль учетных записей пользователей, убедитесь, что вам необходимо именно указанное в нем действие, и нажмите кнопку Продолжить.
В дереве консоли дважды щелкните Личное, затем щелкните Сертификаты.
В меню Действие выберите Все задачи и щелкните Запросить новый сертификат, чтобы запустить мастер регистрации сертификатов.
С помощью мастера создайте и отправьте запрос на любой из доступных видов сертификатов.
В окне Результаты установки сертификата подтвердите правильность выполнения регистрации и отсутствие отчетов об ошибках. Можно также щелкнуть Сведения, чтобы просмотреть дополнительную информацию о сертификате.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 109 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.109" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">109</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
</WriteActions>
</Rule>