Sertifika Hizmetleri bir isteği işleyemedi.
Sertifika yetkilisinin (CA) birincil işlevlerinden biri, istemcilerin gelen sertifika isteklerini değerlendirmek ve önceden tanımlanmış ölçütlerin karşılanması durumunda, söz konusu istemcilere sertifika vermektir. Sertifika kaydının başarılı olması için, istek gönderilmeden önce birkaç koşulun yerine getirilmiş olması gerekir. Bu koşullara, geçerli bir CA sertifikasına sahip bir CA; doğru şekilde yapılandırılmış sertifika şablonları, istemci hesapları ve sertifika istekleri ve istemcinin isteği CA'ya göndermesi, isteğin doğrulanmasını sağlaması ve verilen sertifikayı yüklemesi için bir yol dahildir.
Sertifika isteklerinin işlenmesini engelleyen sorunları düzeltin
Bir sertifika isteğinin işlenmesi, çeşitli sorunlar nedeniyle engelleniyor olabilir. Olay günlüğü iletisinin sorunu düzeltmek için gerek duyduğunuz tüm bilgileri içermemesi durumunda, bu olay günlüğü iletisinden önce veya sonra gelen ek hatalar ve uyarılar, sorunun nedenini tanımlamanıza yardımcı olabilir.
Sertifika isteğinin işlenmesini engelleyebilecek sorunları tanımlamak ve çözmek için şunları yapmanız gerekir:
Sertifika yetkilisine (CA) yönelik sertifika zincirini onaylayın.
Yeni sertifika iptal listeleri (CRL'ler) oluşturun ve yayımlayın.
Yapılandırılan CRL dağıtım noktalarını onaylayın.
Bu adımlar sorunu çözmezse, isteğin başarısız olma nedenine yönelik bilgiler için CA üzerindeki başarısız istek sırasını denetleyin.
Aşağıdaki yordamları gerçekleştirmek için CA'yı Yönet izinlerine sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.
CA'ya yönelik sertifika zincirini onaylayın
CA'ya yönelik sertifika zincirini doğrulamak için:
Başlat'a tıklayın, mmc yazın ve sonra ENTER tuşuna basın.
Kullanıcı Hesabı Denetimi iletişim kutusu görüntülenirse, burada görüntülenen eylemin istediğiniz eylem olduğunu doğrulayın ve sonra Devam'a tıklayın.
Dosya menüsünde, Ek Bileşen Ekle/Kaldır'a tıklayın, Sertifikalar'a tıklayın ve sonra Ekle'ye tıklayın.
Bilgisayar hesabına ve İleri'ye tıklayın.
CA'yı barındıran bilgisayarı seçin, Son'a ve sonra Tamam'a tıklayın.
Sertifika zincirindeki her bir CA sertifikasını seçin ve Sertifikayı Görüntüle'ye tıklayın.
Ayrıntılar sekmesine tıklayın ve Sertifika Dışa Aktarma Sihirbazını başlatmak için Dosyaya Kopyala'ya tıklayın. Her sertifikayı .cer uzantısıyla kaydedin.
Bir komut istemi penceresi açın ve her bir CA sertifikasına şu komutu yazın: certutil -urlfetch -verify <CAcert.cer> ve sonra ENTER tuşuna basın. <CAcert.cer> ifadesini 7. adımda kaydettiğiniz CA sertifikasının adıyla değiştirin.
CA'nın zincirinin yanı sıra kendisine yönelik CRL'leri onaylamak için, CA tarafından verilen bir son varlık (kullanıcı veya bilgisayar) sertifikasına yönelik bir sertifika dosyasıyla aynı komutu kullanın.
Komut satırı çıktısında tanımlanan tüm sorunları çözün.
Yeni CRL'ler oluşturun ve yayımlayın
Komut satırı çıktısı bir CA'ya yönelik bir CRL'nin süresinin bittiğini gösteriyorsa, CA üzerinde yeni temel ve delta CRL'ler oluşturun ve bunları gerekli konumlara kopyalayın. Bunu yapmak için bir çevrimiçi CA'yı yeniden başlatmanız gerekebilir.
CA'da yayımlanmış geçerli CRL'yi denetleyin. Varsayılan olarak, CA CRL'leri %windir%\System32\CertSrv\CertEnroll klasöründe oluşturur. Geçerli olarak bu konumda bulunan CRL'lerin süresinin bitmiş veya geçersiz olması durumunda, yeni bir CRL yayımlamak için aşağıdaki yordamı kullanabilirsiniz.
Sertifika Yetkilisi ek bileşenini kullanarak yeni bir CRL yayımlamak için:
CA'yı barındıran bilgisayarda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Sertifika Yetkilisi'ne tıklayın.
CA'yı seçin ve CA adının altındaki klasörleri genişletin.
İptal Edilen Sertifikalar klasörüne sağ tıklayın.
Tüm Görevler'e ve sonra Yayımla'ya tıklayın.
Ayrıca, CRL'leri bir komut isteminden oluşturabilir ve yayımlayabilirsiniz.
Certutil komut satırı aracını kullanarak bir CRL yayımlamak için:
CA'yı barındıran bilgisayar üzerinde, Başlat'a tıklayın, cmd yazın ve ENTER tuşuna basın.
certutil -CRL yazın ve ENTER tuşuna basın.
Bir CRL kullanılamıyor olarak tanımlanmışsa, ancak CA üzerindeki yerel dizinde geçerli bir CRL varsa, CA'nın CRL dağıtım noktasına bağlanabildiğini onaylayın ve sonra CRL'leri tekrar oluşturmak ve yayımlamak için önceki adımları gerçekleştirin.
CRL'ler şu komut kullanılarak Active Directory Etki Alanı Hizmetleri'ne (AD DS) el ile yayımlanabilir:
certutil -dspublish"<crlname.crl>" ldap:///CN=<CA adı>,CN=<CA ana bilgisayar adı>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint
crlname.crl ifadesini CRL dosyanızın adıyla, <CA adı> ve <CA ana bilgisayar adı>nı CA'nızın adı ve bu CA'nın çalıştırıldığı ana bilgisayarın adıyla ve <contoso> ve <com> öğelerini de Active Directory etki alanınızın ad alanıyla değiştirin.
Yapılandırılan CRL dağıtım noktalarını onaylayın
Yayımın başarılı olduğunu ve yeni CRL'lerin ağ üzerinde kullanılabilir olduğunu onaylamak için tüm yapılandırılan CRL dağıtım noktalarını denetleyin.
Yapılandırılan CRL dağıtım noktalarını Sertifika Yetkilisi ek bileşenini kullanarak denetlemek için:
CA'yı barındıran bilgisayarda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Sertifika Yetkilisi'ne tıklayın.
CA'nın adına sağ tıklayın ve Özellikler'e tıklayın.
Uzantılar sekmesine tıklayın.
Bilgilerin doğru olduğundan emin olmak için, yapılandırılan CRL dağıtım noktalarını gözden geçirin.
Yapılandırılan CRL dağıtım noktası URL'lerini Certutil kullanarak denetlemek için:
CA üzerinde bir komut istemi penceresi açın.
certutil -getreg ca\crlpublicationurls komutunu yazın ve ENTER tuşuna basın.
CA üzerindeki başarısız istek sırasını denetleyin
CA üzerindeki başarısız istek sırasını Sertifika Yetkilisi ek bileşenini kullanarak denetlemek için:
CA'yı barındıran bilgisayarda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Sertifika Yetkilisi'ne tıklayın.
Başarısız İstekler klasörüne tıklayın.
Olay zamanında veya buna yakın bir zamanda gönderilen başarısız istekleri arayın ve ek tanılama bilgileri için İstek Sıralama İletisi, Durum Kodu İste ve İstek Sahibi Adı gibi sütunları denetleyin.
Başarısız istekleri Certutil kullanarak denetlemek için:
CA'yı barındıran bilgisayar üzerinde Başlat'a tıklayın, cmd yazın ve ENTER tuşuna basın.
certutil -view LogFail yazın ve ENTER tuşuna basın.
certutil -view -restrict requestID="<nnn>" yazın ve ENTER tuşuna basın. <nnn> ifadesini LogFail komutunun çıktısındaki başarısız olan isteklerden birinin İstek Kimliği ile değiştirin.
Sertifika isteği işleme olanağının doğru şekilde çalıştığını onaylamak için:
Başlat'a tıklayın, certmgr.msc yazın ve sonra ENTER tuşuna basın.
Kullanıcı Hesabı Denetimi iletişim kutusu görüntülenirse, kutuda görüntülenen eylemin istediğiniz eylem olduğunu doğrulayın ve ardından Devam'a tıklayın.
Konsol ağacında, Kişisel öğesine çift tıklayın ve sonra Sertifikalar öğesine tıklayın.
Eylem menüsünde, Tüm Görevler'in üzerine gidin ve Sertifika Kaydı sihirbazını başlatmak için Yeni Sertifika İste öğesine tıklayın.
Kullanılabilir herhangi bir tür sertifika için sertifika isteği oluşturmak ve göndermek üzere sihirbazı kullanın.
Sertifika Yükleme Sonuçları altında, kaydın başarıyla tamamlandığını ve hata bildirilmediğini onaylayın. Ayrıca, sertifikayla ilgili ek bilgileri görüntülemek için Ayrıntılar öğesine tıklayabilirsiniz.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 21 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.21" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">21</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID42b3cc830b884161b292de001ad930e4"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>