Una richiesta di certificato è stata negata.
Una delle funzioni principali di un'autorità di certificazione (CA) è quella di valutare le richieste di certificati da parte dei client e, se sono soddisfatti i criteri predefiniti, rilasciare certificati a tali client. Affinché la registrazione del certificato venga eseguita correttamente, occorre che sia presente un certo numero di elementi prima dell'invio della richiesta, compresa una CA dotata di certificato CA valido, modelli di certificato configurati correttamente, account dei client, richieste di certificato e un metodo mediante il quale il client può inviare la richiesta alla CA, ottenerne la convalida e installare il certificato emesso.
Rimozione delle condizioni che impediscono l'approvazione di una richiesta di certificato
I problemi nella creazione della catena sono una causa comune del malfunzionamento di un certificato. Utilizzare la procedura seguente per convalidare la catena di certificati per l'autorità di certificazione (CA) e risolvere gli eventuali problemi individuati:
Verificare le informazioni sull'account utente in Servizi di dominio Active Directory.
Verificare le informazioni sui modelli di certificato.
Verifica della catena di certificati per la CA.
Controllare i più recenti elenchi di revoche di certificati (CRL).
Pubblicare un nuovo CRL.
Se queste operazioni non permettono di risolvere il problema, verificare e risolvere i problemi nelle seguenti aree:
La coda delle richieste non riuscite per la CA
Connettività dei Servizi di dominio Active Directory
Potrebbero non essere disponibili le firme necessarie per completare la richiesta di certificato. In questo caso:
Consentire a utenti aggiuntivi dotati di certificati di autorità di registrazione di firmare le richieste di certificato.
Modificare il modello di certificato in modo che richieda un numero inferiore di firme di autorità di registrazione.
Inviare nuovamente la richiesta di certificato.
Verificare le informazioni sull'account utente in Servizi di dominio Active Directory
Per eseguire questa procedura è necessario appartenere al gruppo Domain Admins oppure avere ricevuto in delega l'autorità appropriata.
Per verificare le informazioni sull'account utente:
Sul controller di dominio, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Utenti e computer di Active Directory.
Nell'albero della console, selezionare il dominio e il gruppo utenti in cui deve trovarsi l'account dell'utente.
Se l'account utente esiste, fare clic con il pulsante destro del mouse sull'account, fare clic su Proprietà e verificare che l'utente disponga di un nome Domain Name System (DNS) configurato correttamente.
Verificare le informazioni sui modelli di certificato
Per eseguire questa procedura è necessario disporre dell'autorizzazione Gestione CA oppure avere ricevuto in delega l'autorità appropriata.
Per verificare le informazioni sui modelli di certificato:
Sul computer su cui si trova la CA, fare clic sul pulsante Start, digitare certtmpl.msc e premere INVIO.
Fare clic con il pulsante destro del mouse sul modello di certificato per il quale risolvere i problemi, quindi verificare che l'utente o il gruppo disponga di autorizzazioni per la registrazione di un certificato basato su questo modello.
Verificare la catena di certificati per la CA
Per convalidare la catena per la CA:
Fare clic su Start, digitare mmc, quindi premere INVIO.
Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata, quindi fare clic su Continua.
Nel menu File fare clic su Aggiungi/Rimuovi snap-in, fare clic su Certificati, quindi fare clic su Aggiungi.
Fare clic su Account del computer, quindi fare clic su Avanti.
Selezionare il computer su cui si trova la CA, fare clic su Fine, quindi fare clic su OK.
Selezionare ogni certificato CA nella catena di certificati, quindi fare clic su Visualizza certificato.
Fare clic sulla scheda Dettagli, quindi fare clic su Copia su file per avviare l'Esportazione guidata certificati. Salvare ogni certificato con estensione .cer.
Aprire un prompt dei comandi ed eseguire il comando seguente su ogni certificato CA: certutil -urlfetch -verify <certificatoCA.cer>, quindi premere INVIO. Sostituire <certificatoCA.cer> con il nome di un file di certificato CA salvato al passaggio 7.
Utilizzare lo stesso comando con un file di certificato per un'entità finale (utente o computer) emesso dalla CA per verificare i CRL per la CA stessa e la relativa catena.
Risolvere eventuali problemi individuati nell'output della riga di comando.
Generare e pubblicare nuovi CRL
Se l'output della riga di comando indica che un CRL per una CA è scaduto, generare nuovi Base CRL e Delta CRL nella CA e copiarli nei percorsi necessari. A tale scopo potrebbe essere necessario riavviare una CA non in linea.
Nella CA, controllare il CRL corrente pubblicato. Per impostazione predefinita, la CA crea i CRL nella cartella %windir%\System32\CertSrv\CertEnroll. Se i CRL attualmente in questo percorso sono scaduti o non sono validi, attenersi alla procedura seguente per pubblicare un nuovo CRL.
Per pubblicare un nuovo CRL utilizzando lo snap-in Autorità di certificazione:
Sul computer su cui si trova la CA, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Autorità di certificazione.
Selezionare la CA ed espandere le cartelle sotto il nome della CA.
Fare clic con il pulsante destro del mouse sulla cartella Certificati revocati.
Fare clic su Tutte le attività, quindi fare clic su Pubblica.
È anche possibile generare e pubblicare CRL da un prompt dei comandi.
Per pubblicare un CRL utilizzando lo strumento della riga di comando Certutil:
Sul computer su cui si trova la CA, fare clic sul pulsante Start, digitare cmd e premere INVIO.
Tipo certutil-CRL e premere INVIO.
Se un CRL è indicato come non disponibile, ma è presente un CRL valido nella directory locale della CA, verificare che la CA sia in grado di connettersi al punto di distribuzione CRL, quindi utilizzare i passaggi precedenti per generare e pubblicare nuovamente i CRL.
I CRL possono essere pubblicati manualmente su Servizi di dominio Active Directory (AD DS) utilizzando il seguente comando:
certutil -dspublish"<nomeCRL.crl>" ldap:///CN=<nome CA>,CN=<nome host CA>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint
Sostituire nomeCRL.crl con il nome del file CRL, <nome CA> e <nome host CA> con il nome della CA e il nome dell'host in cui viene eseguita la CA, e <contoso> e <com> con lo spazio dei nomi del dominio Active Directory.
Verificare i punti di distribuzione Elenco di revoche di certificati (CRL) configurati
Controllare tutti i punti di distribuzione Elenco di revoche di certificati (CRL) configurati per verificare che la pubblicazione sia stata eseguita correttamente e che i nuovi CRL siano disponibili sulla rete.
Per eseguire questa procedura è necessario disporre dell'autorizzazione Gestione CA oppure avere ricevuto in delega l'autorità appropriata.
Per controllare i punti di distribuzione Elenco di revoche di certificati (CRL) configurati utilizzando lo snap-in Autorità di certificazione:
Sul computer su cui si trova la CA, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Autorità di certificazione.
Fare clic con il pulsante destro del mouse sul nome della CA, quindi fare clic su Proprietà.
Fare clic sulla scheda Estensioni.
Rivedere i punti di distribuzione Elenco di revoche di certificati (CRL) configurati e verificare che i nomi siano validi.
Per controllare gli URL dei punti di distribuzione CRL configurati utilizzando Certutil:
Aprire una finestra del prompt dei comandi sulla CA.
Digitare certutil -getreg ca\crlpublicationurls e premere INVIO.
Rivedere i punti di distribuzione Elenco di revoche di certificati (CRL) configurati e verificare che i nomi siano validi.
Controllare la coda delle richieste non riuscite sulla CA
Per eseguire questa procedura è necessario disporre dell'autorizzazione Gestione CA oppure avere ricevuto in delega l'autorità appropriata.
Per controllare la coda delle richieste non riuscite sulla CA utilizzando lo snap-in Autorità di certificazione:
Sul computer su cui si trova la CA, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Autorità di certificazione.
Fare clic su Richieste non riuscite.
Cercare le richieste non riuscite inviate in corrispondenza o in prossimità del momento dell'evento, e controllare le eventuali ulteriori informazioni di diagnostica nelle colonne quali Messaggio disposizione richiesta, Codice stato richiesta e Nome richiedente.
Per verificare le richieste non riuscite utilizzando Certutil:
Nel computer in cui si trova la CA fare clic sul pulsante Start, digitare cmd e premere INVIO.
Digitare certutil -view LogFail e premere INVIO.
Digitare certutil -view -restrict requestID="<nnn>" e premere INVIO. Sostituire <nnn> con l'ID richiesta di una delle richieste non riuscite nell'output del comando LogFail.
Verificare la connettività dei Servizi di dominio Active Directory
Per verificare una connessione di Servizi certificati Active Directory (AD CS) a Servizi di dominio Active Directory:
Sulla CA, aprire una finestra del prompt dei comandi.
Digitare ping <FQDN_server>, dove <FQDN_server> è il nome di dominio completo del controller di dominio, ad esempio server1.contoso.com, quindi premere INVIO.
Se il ping ha esito positivo, verrà ricevuta una risposta simile alla seguente:
Reply from IP_address: bytes=32 time=3ms TTL=59
Reply from IP_address: bytes=32 time=20ms TTL=59
Reply from IP_address: bytes=32 time=3ms TTL=59
Reply from IP_address: bytes=32 time=6ms TTL=59 3
Al prompt dei comandi digitare ping <indirizzo_IP>, dove <indirizzo_IP> è l'indirizzo IP del controller di dominio, quindi premere INVIO.
Se la connessione al controller di dominio tramite indirizzo IP ha esito positivo, mentre la connessione tramite nome di dominio completo ha esito negativo, è possibile che si sia verificato un problema relativo alla risoluzione dei nomi host DNS. Se la connessione al controller di dominio tramite indirizzo IP ha esito negativo, è possibile che si sia verificato un problema relativo alla connettività di rete, alla configurazione del firewall o alla configurazione Internet Protocol Security (IPSec).
Rilasciare certificati di autorità di registrazione aggiuntivi
Per eseguire questa procedura, è necessario essere un membro del gruppo Administrators locale nel computer in cui si trova la CA o avere ricevuto in delega l'autorità appropriata.
Per emettere certificati di autorità di registrazione aggiuntivi:
Sul computer su cui si trova la CA, fare clic sul pulsante Start, digitare certtmpl.msc e premere INVIO.
Nel riquadro dei dettagli, fare clic con il pulsante destro del mouse sul modello di certificato dell'autorità di registrazione, quindi fare clic su Proprietà.
Nella scheda Protezione, aggiungere i nomi degli utenti o dei gruppi per i quali emettere i certificati di autorità di registrazione.
In Utenti e gruppi, fare clic su uno dei nuovi oggetti; quindi, in Autorizzazioni per NomeOggetto, nella colonna Consenti, selezionare le caselle di controllo Lettura e Registrazione.
Ripetere il passaggio precedente per ogni nuovo oggetto, quindi fare clic su OK.
Fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Autorità di certificazione.
Fare doppio clic sul nome della CA.
Fare clic con il pulsante destro del mouse sul contenitore Modelli di certificato, fare clic su Nuovo, quindi fare clic su Modello di certificato da rilasciare.
Selezionare il modello di certificato desiderato e fare clic su OK.
Modificare i requisiti di firma dei modelli di certificato
Per eseguire questa procedura è necessario disporre dell'autorizzazione Gestione CA oppure avere ricevuto in delega l'autorità appropriata.
Per modificare i requisiti di firma dei modelli di certificato:
Sul computer su cui si trova la CA, fare clic sul pulsante Start, digitare certtmpl.msc e premere INVIO.
Nel riquadro dei dettagli, fare clic con il pulsante destro del mouse sul modello di certificato da modificare, quindi fare clic su Proprietà.
Fare clic sulla scheda Requisiti di rilascio.
In Numero di firme digitali autorizzate, inserire il numero di firme di autorità di registrazione da utilizzare.
Ripetere il passaggio precedente per ogni nuovo oggetto, quindi fare clic su OK.
Fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Autorità di certificazione.
Fare doppio clic sul nome della CA.
Fare clic con il pulsante destro del mouse sul contenitore Modelli di certificato, fare clic su Nuovo, quindi fare clic su Modello di certificato da rilasciare.
Selezionare il modello di certificato desiderato e fare clic su OK.
Per verificare il corretto funzionamento dell'elaborazione delle richieste di certificati:
Fare clic su Start, digitare certmgr.msc, quindi premere INVIO.
Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata, quindi fare clic su Continua.
Nell'albero della console fare doppio clic su Personale, quindi fare clic su Certificati.
Nel menu Azione, scegliere Tutte le attività, quindi fare clic su Richiedi nuovo certificato per avviare la procedura guidata di registrazione certificato.
Utilizzare la procedura guidata per creare e inviare una richiesta di certificato per qualsiasi tipo di certificato disponibile.
In Risultati installazione certificati, verificare che la registrazione venga completata correttamente e che non vengano segnalati errori. È anche possibile fare clic su Dettagli per visualizzare ulteriori informazioni sul certificato.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 53 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.53" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">53</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>