CA sertifikası için zincirde olan bir sertifika iptal edildi.
Zincir veya yol doğrulama, sertifika zincirinin güvenilen, otomatik olarak imzalanan bir sertifikada sonlandırılmasına kadar, son varlık (kullanıcı veya bilgisayar) sertifikalarının ve tüm sertifika yetkilisi (CA) sertifikalarının hiyerarşik olarak işlenmesi için kullanılan işlemdir. Genellikle bu bir kök CA sertifikasıdır. CA sertifikasına ilişkin kullanılabilirlik, geçerlilik ve zincir doğrulama sorunları varsa, Active Directory Sertifika Hizmetleri'nin (AD CS) başlatılması başarısız olabilir.
İptal edilen CA sertifikası için zincirdeki sertifikaları yeniden verin
Bir sertifika yetkilisi (CA) sertifikasının iptal edilmesi yaygın bir durum değildir. Bu durumu düzeltmek için:
CA sertifikasının iptal edildiğini onaylayın.
Bir CA yöneticisine, iptal işleminin kasıtlı olarak mı, yoksa istenmeden mi yapıldığını sorun. Sertifika kasıtlı olarak iptal edilmişse, ek bir eylem gerekli değildir.
İstenmeden iptal edilmişse, CA sertifikasının ve daldaki her sertifikanın kayıt veya otomatik kayıt yoluyla yeniden verilmesi gerekir.
Sorun devam ederse, soruna yol açıyor olabilecek ek hataları tanımlamak ve düzeltmek için CryptoAPI 2.0 Tanılama'yı etkinleştirin.
Bu yordamları gerçekleştirmek için CA'yı Yönet izinlerine sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.
CA sertifikasının iptal edildiğini onaylayın
CA sertifikasının iptal edildiğini onaylamak için:
Bir komut istemi penceresi açın.
certutil -urlfetch -verify<CAcert.cer> yazın ve ENTER tuşuna basın.
CAcert.cer ifadesini, CA sertifikasının adıyla değiştirin.
CA sertifikası kaydı yapmak için
CA sertifikası kaydı yapmak için:
CA'yı barındıran bilgisayarda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve sonra Sertifika Yetkilisi'ne tıklayın.
CA adına sağ tıklayın, Tüm Görevler'i seçin ve CA Sertifikası İste'ye tıklayın.
İsteği işlemek ve kaydı tamamlamak için, istek dosyasını ve üst CA'yı barındıran CA'nın veya bilgisayarın adını seçin.
CA sertifikası yüklendikten sonra, iptal edilen CA sertifikasın kullanılarak verilmiş olan tüm sertifikaları yeniden vermeniz gerekir.
CryptoAPI 2.0 Tanılama'yı etkinleştirin
CryptoAPI 2.0 Tanılama'yı etkinleştirmek için:
CA'yı barındıran bilgisayarda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Olay Görüntüleyicisi'ne tıklayın.
Konsol ağacında, Olay Görüntüleyicisi'ni, Uygulama ve Hizmet Günlükleri'ni, Microsoft'u, Windows'u ve CAPI2'yi genişletin.
İşlemsel'e sağ tıklayın ve Günlüğü Etkinleştir'e tıklayın.
Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Hizmetler'e tıklayın.
Active Directory Sertifika Hizmetleri'ne sağ tıklayın ve Yeniden Başlat'a tıklayın.
Bu hatayla ilgili bilgiler için CAPI2 tanılama günlüğünü tarayın.
Sertifika yetkilisi (CA) sertifikasının ve zincirin geçerli olduğunu onaylamak için:
CA'yı barındıran bilgisayar üzerinde, Başlat'a tıklayın, mmc yazın ve sonra ENTER tuşuna basın.
Kullanıcı Hesabı Denetimi iletişim kutusu görüntülenirse, kutuda görüntülenen eylemin istediğiniz eylem olduğunu doğrulayın ve ardından Devam'a tıklayın.
Dosya menüsünde, Ek Bileşen Ekle/Kaldır'a tıklayın, Sertifikalar'a tıklayın ve sonra Ekle'ye tıklayın.
Bilgisayar hesabı öğesine ve İleri'ye tıklayın.
Son'a ve sonra Tamam'a tıklayın.
Konsol ağacında, Sertifikalar'a (Yerel Bilgisayar) ve sonra Kişisel'e tıklayın.
Bu depoda süresi bitmemiş bir CA sertifikasının var olduğunu onaylayın.
Bu sertifikaya sağ tıklayın ve Sertifika Dışa Aktarma Sihirbazı'nı başlatmak için Dışa Aktar öğesini seçin.
Sertifikayı, Cert.cer adlı bir dosya olarak dışa aktarın.
Start yazın, cmd yazın ve ENTER tuşuna basın.
certutil -urlfetch -verify <cert.cer> yazın ve ENTER tuşuna basın.
Herhangi bir doğrulama, zincir oluşturma veya iptal denetimi hatası bildirilmezse, zincir geçerlidir.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 51 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.51" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">51</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDec09b85c4b5c4b5c9753da70c2ab3dc7"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>