Срок действия сертификата агента восстановления ключей скоро истечет.
Для поддержки архивации ключей службам сертификации Active Directory требуются сертификаты агента восстановления ключей, сертификаты обмена и ключи. Работа сертификатов агента восстановления ключей, сертификатов обмена и поставщиков служб шифрования, необходимых для их создания, играет важную роль в инфраструктуре открытого ключа.
Обновление сертификата агента восстановления ключей, срок которого скоро истечет
Сертификат агента восстановления ключей, срок действия которого истек, больше не может использоваться для восстановления ключей. Чтобы продолжить архивацию ключей, обновите сертификат агента восстановления ключей.
Чтобы выполнить эту процедуру, вы должны являться пользователем, зарегистрированным для сертификата агента восстановления ключей.
Чтобы обновить сертификат агента обновления ключей, выполните следующие действия.
Нажмите кнопку Пуск, введите certmgr.msc, а затем нажмите клавишу ВВОД.
В дереве консоли дважды щелкните Сертификаты, дважды щелкните Личное, а затем щелкните Сертификаты.
Щелкните правой кнопкой мыши сертификат агента восстановления ключей, выберите Все задачи и щелкните Обновить сертификат с помощью нового ключа или щелкните Дополнительные операции и Обновить этот сертификат тем же ключом, чтобы запустить мастер обновления сертификатов.
Выполните инструкции мастера для обновления сертификата.
На компьютере, на котором размещен ЦС, нажмите кнопку Пуск, выберите Администрирование и щелкните Центр сертификации.
В дереве консоли щелкните имя ЦС.
В меню Действие выберите пункт Свойства.
Выберите вкладку Агенты восстановления, а затем щелкните Архивировать ключ.
В поле Количество используемых агентов восстановления введите количество агентов восстановления ключей, которые будут использоваться для шифрования архивированного ключа. Количество используемых агентов восстановления должно находиться в диапазоне от одного и до количества настроенных сертификатов агентов восстановления ключей. Щелкните элемент Добавить.
В окне Выбор агента восстановления ключей щелкните отображаемый сертификат восстановления ключей и нажмите кнопку OK. Сертификаты должны отобразиться в списке Сертификаты агента восстановления ключей, но для них указано состояние Не загружено.
Нажмите кнопку OK или Применить. При требовании перезапуска ЦС нажмите кнопку Да. После перезапуска ЦС для сертификатов должно быть указано состояние Действительно.
Чтобы подтвердить правильную работу архивации и восстановления ключей, выполните следующие действия.
На компьютере, на котором размещен ЦС, нажмите кнопку Пуск, выберите Администрирование и щелкните Центр сертификации.
В дереве консоли щелкните правой кнопкой мыши имя центра сертификации (ЦС), а затем щелкните Свойства.
Щелкните вкладку Агенты восстановления.
Подтвердите, что все перечисленные сертификаты агентов восстановления отмечены как Действительный.
В разделе "Контейнер шаблонов сертификатов" подтвердите наличие у сертификата шифрования функции Архивировать закрытый ключ субъекта, настраиваемой на вкладке Обработка запроса.
Откройте оснастку "Сертификаты" для учетной записи пользователя, обладающего разрешениями на регистрацию сертификата на основе этого шаблона сертификата.
В дереве консоли щелкните правой кнопкой мыши Личное, выберите Все задачи и щелкните Запросить новый сертификат, чтобы запустить мастер регистрации сертификатов.
Зарегистрируйте сертификат на основе шаблона шифрования и подтвердите успешное завершение регистрации и отсутствие сообщений об ошибках.
По завершении регистрации откройте оснастку "Центр сертификации".
В дереве консоли щелкните Выданные сертификаты.
Найдите запись о выданном сертификате и добавьте столбец Архивированный ключ в список отображения оснастки.
Убедитесь в том, что в столбце Архивированный ключ для выданного сертификата появилась пометка Да.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 127 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.127" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">127</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>