Un certificato della catena per il certificato CA è stato revocato.
La convalida della catena o del percorso è il processo mediante il quale vengono elaborati i certificati delle entità finali (utente o computer) e tutti i certificati dell'autorità di certificazione (CA) gerarchicamente fino a quando la catena di certificati termina con un certificato autofirmato attendibile. In genere, si tratta di un certificato della CA radice. L'avvio di Servizi certificati Active Directory (AD CS) potrebbe non riuscire se ci sono problemi di disponibilità, validità e convalida della catena per il certificato CA.
Nuovo rilascio di certificati nella catena per un certificato CA revocato
In circostanze normali, il certificato di una autorità di certificazione (CA) non viene revocato. Per risolvere il problema:
Verificare che il certificato CA sia stato revocato.
Chiedere a un amministratore della CA se la revoca è stata intenzionale o involontaria. Se il certificato è stato revocato intenzionalmente, non sono necessarie ulteriori azioni.
Se è stato revocato involontariamente, il certificato CA e ogni certificato nel ramo devono essere nuovamente rilasciati attraverso la registrazione o la registrazione automatica.
Se il problema persiste, attivare la diagnostica CryptoAPI 2.0 per identificare e risolvere altri errori che potrebbero essere la causa del problema.
Per eseguire queste procedure è necessario disporre dell'autorizzazione Gestione CA oppure avere ricevuto in delega l'autorità appropriata.
Verificare che un certificato CA sia stato revocato
Per verificare che un certificato CA sia stato revocato:
Aprire una finestra del prompt dei comandi.
Digitare certutil -urlfetch -verify<certificatoCA.cer> e premere INVIO.
Sostituire CAcert.cer con il nome del file del certificato CA.
Per registrare un certificato CA
Per registrare un certificato CA:
Sul computer su cui si trova la CA, fare clic sul pulsante Start, scegliere Strumenti di amministrazione, quindi fare clic su Autorità di certificazione.
Fare clic con il pulsante destro del mouse sul nome della CA, scegliere Tutte le attività e fare clic Richiedi certificato CA.
Selezionare il file della richiesta e il nome della CA o del computer su cui si trova una CA padre per elaborare la richiesta e completare la registrazione.
Dopo l'installazione del certificato è necessario rilasciare nuovamente tutti i certificati che erano stati rilasciati utilizzando il certificato CA revocato.
Attivare la diagnostica CryptoAPI 2.0
Per attivare la diagnostica CryptoAPI 2.0:
Sul computer su cui si trova la CA, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic sul Visualizzatore eventi.
Nell'albero della console, espandere Visualizzatore eventi, Registri applicazioni e servizi, Microsoft, Windows e CAPI2.
Fare clic con il pulsante destro del mouse su Operativo, quindi fare clic su Attiva registro.
Fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Servizi.
Fare clic con il pulsante destro del mouse su Servizi certificati Active Directory, quindi fare clic su Riavvia.
Esaminare il registro diagnostica di CAPI2 per ottenere informazioni relative a questo errore.
Per verificare che il certificato e la catena dell'autorità di certificazione (CA) siano validi:
Sul computer su cui si trova la CA, fare clic sul pulsante Start, digitare mmc e premere INVIO.
Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata, quindi fare clic su Continua.
Nel menu File fare clic su Aggiungi/Rimuovi snap-in, fare clic su Certificati, quindi fare clic su Aggiungi.
Fare clic su Account del computer, quindi fare clic su Avanti.
Fare clic su Fine, quindi fare clic su OK.
Nell'albero della console, fare clic su Certificati (computer locale), quindi fare clic su Personale.
Verificare che in questo archivio sia presente un certificato CA non scaduto.
Fare clic con il pulsante destro del mouse su questo certificato e selezionare Esporta per avviare l'Esportazione guidata certificati.
Esportare il certificato in un file denominato Cert.cer.
Digitare Start, cmd e premere INVIO.
Digitare certutil -urlfetch -verify <cert.cer> e premere INVIO.
Se non vengono segnalati errori di convalida, creazione della catena, o rilevamento revoche, la catena è valida.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 51 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.51" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">51</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDec09b85c4b5c4b5c9753da70c2ab3dc7"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>