Ett certifikat i kedjan för CA-certifikatet har återkallats.
Kedje- eller sökvägsvalidering är processen genom vilket slutenhetscertifikat (användare eller dator) och alla certifikatutfärdarcertifikat behandlas hierarkiskt tills certifikatkedjan avslutas vid betrott, självsignerat certifikat. Det är vanligtvis ett rot-CA-certifikat. Start av Active Directory-certifikattjänster (AD CS) kan misslyckas om det finns problem med CA-certifikatets tillgänglighet, giltighet eller kedjevalidering.
Utfärda certifikat i kedjan på nytt för ett CA-certifikat som har återkallats
Det är inte vanligt att ett certifikat för en certifikatutfärdare återkallas. Så här löser du problemet:
Bekräfta att CA-certifikatet har återkallats.
Fråga en CA-administratör om återkallandet var avsiktligt eller oavsiktligt. Om certifikatet återkallades avsiktligt behöver du inte vidta ytterligare åtgärder.
Om det återkallades oavsiktligt måste CA-certifikatet och alla certifikat i grenen utfärdas på nytt via registrering eller autoregistrering.
Om problemet kvarstår aktiverar du CryptoAPI 2.0-diagnostik för att identifiera och lösa ytterligare problem som kan ligga bakom.
För att kunna utföra dessa procedurer måste du ha behörighet att hantera certifikatutfärdare, eller ha tilldelats lämplig auktoritet.
Bekräfta att ett CA-certifikatet har återkallats
Bekräfta att ett CA-certifikatet har återkallats:
Öppna ett kommandotolkfönster.
Skriv certutil -urlfetch -verify <CAcert.cer> och tryck på RETUR.
Ersätt CAcert.cer med namnet för certifikatutfärdarfilen.
Registrera för ett CA-certifikat
Registrera för ett CA-certifikat:
Klicka på Start på datorn som kör certifikatutfärdaren (CA), peka på Administrationsverktyg och klicka på Certifikatutfärdare.
Högerklicka på namnet för certifikatutfärdaren, välj Alla uppgifter och klicka på Begär certifikatutfärdarcertifikat.
Markera begärandefilen och namnet på certifikatutfärdaren eller datorn som kör en överordnad CA för att behandla begäran och slutföra registreringen.
När CA-certifikatet har installerats måste du utfärda alla certifikat som har utfärdats med det återkallade CA-certifikatet på nytt.
Aktivera CryptoAPI 2.0-diagnostik
Aktivera CryptoAPI 2.0-diagnostik:
Klicka på Start på datorn som kör certifikatutfärdaren, peka på Administrationsverktyg och klicka på Loggboken.
Expandera Loggboken, Program- och tjänsteloggar, Microsoft, Windows och CAPI2 i konsolträdet.
Högerklicka på Arbetsloggen och klicka på Aktivera logg.
Klicka på Start, peka på Administrationsverktyg och klicka på Tjänster.
Högerklicka på Active Directory-certifikattjänster och klicka på Starta om.
Sök efter information som rör det här felet i CAPI2-diagnostikloggen.
Bekräfta att certifikatutfärdarcertifikatet och kedjan är giltiga:
Klicka på Start, skriv mmc och tryck på RETUR på datorn som kör certifikatutfärdaren.
Om dialogrutan Kontroll av användarkonto visas bekräftar du att den åtgärd som visas är den du önskar och klickar på Fortsätt.
På Arkiv-menyn klickar du på Lägg till/ta bort snapin, klickar på Certifikat och sedan på Lägg till.
Klicka på Datorkonto och Nästa.
Klicka på Slutför och OK.
Klicka på Certifikat (lokal dator) i konsolträdet och sedan på Personlig.
Bekräfta att ett CA-certifikat som inte har upphört finns i det här arkivet.
Högerklicka på det här certifikatet och markera Exportera för att starta guiden Exportera certifikat.
Exportera certifikatet till en fil men namnet Cert.cer.
Skriv Start, cmd och tryck på RETUR.
Skriv certutil -urlfetch -verify <cert.cer> och tryck på RETUR.
Om inga fel rapporteras för validering, skapande av kedja eller återkallningskontroll är kedjan giltig.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 51 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.51" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">51</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDec09b85c4b5c4b5c9753da70c2ab3dc7"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>