En certifikatbegäran har nekats.
En av en certifikatutfärdares (CA) primära funktioner är att utvärdera certifikatbegäranden från kunder och, om de fördefinierade villkoren uppfylls, utfärda certifikat för dessa kunder. För att certifikatregistrering ska lyckas måste ett antal element finnas innan begäran skickas, inklusive en CA med ett CA-certifikat; korrekt konfigurerade certifikatmallar, klientkonton och certifikatbegäranden; och ett sätt för kunden att skicka begäran till CA, få begäran validerad och installera det utfärdade certifikatet.
Ta bort tillstånd som kan förhindra att en certifikatbegäran godkänns
En vanlig orsak till att certifikatbegäranden misslyckas är att problem uppstår när kedjan skapas. Använd följande procedur för att bekräfta certifikatkedjan för certifikatutfärdaren (CA) och lösa alla identifierade problem:
Bekräfta användarkontoinformation i Active Directory Domain Services (AD DS).
Bekräfta certifikatmallsinformation.
Bekräfta certifikatkedjan för certifikatutfärdaren.
Kontrollera de senaste listorna över återkallade certifikat (CRL).
Publicera en ny CRL.
Om det inte löser problemet kontrollerar du och löser problem i följande områden:
Kön med misslyckade begäranden för certifikatutfärdaren
AD DS-anslutning
Signaturer som krävs för att slutföra certifikatbegäran finns kanske inte tillgängliga. Om så är fallet:
Aktivera ytterligare användare med registreringsutfärdarcertifikat för att signera certifikatbegäranden.
Ändra certifikatmallen så att den kräver färre registreringsutfärdarcertifikat.
Skicka certifikatbegäran igen.
Bekräfta användarkontoinformation i AD DS
För att kunna utföra denna procedur måste du vara medlem i Domänadministratörer, eller ha tilldelats lämplig auktoritet.
Bekräfta användarkontoinformation:
Klicka på Start på domänkontrollanten, peka på Administrationsverktyg och klicka på Active Directory-användare och -datorer.
Välj domänen och användargruppen där användarens konto ska placeras i konsolträdet.
Om användarkontot finns högerklickar du på det, klickar på Egenskaper och bekräftar att användaren har ett korrekt konfigurerat DNS-namn.
Bekräfta certifikatmallsinformation
För att kunna utföra denna procedur måste du ha behörighet att hantera certifikatutfärdare, eller ha tilldelats lämplig auktoritet.
Bekräfta certifikatmallsinformation:
Klicka på Start, skriv certtmpl.msc och tryck på RETUR på datorn som kör certifikatutfärdaren (CA).
Högerklicka på certifikatmallen som du felsöker och bekräfta att användaren eller gruppen har behörighet att registrera för ett certifikat baserat på den här mallen.
Bekräfta certifikatkedjan för certifikatutfärdaren
Validera certifikatkedjan för certifikatutfärdaren:
Klicka på Start, skriv mmc och tryck på RETUR.
Om dialogrutan Kontroll av användarkonto visas bekräftar du att den åtgärd som visas är den du önskar och klickar på Fortsätt.
Klicka på Lägg till/ta bort snapin i Arkiv-menyn, klicka på Certifikat och Lägg till.
Klicka på Datorkonto och Nästa.
Markera den dator som kör CA och klicka på Slutför och OK.
Markera varje CA-certifikat i certifikatkedjan och klicka på Visa certifikat.
Klicka på fliken Information och klicka på Kopiera till fil för att starta guiden Exportera certifikat. Spara varje certifikat med tillägget .cer.
Öppna kommandotolken och kör följande kommando för varje certifikatutfärdarcertifikat: certutil -urlfetch -verify <CAcert.cer> och tryck sedan på RETUR. Ersätt <CAcert.cer> med namnet på certifikatfilen för certifikatutfärdare som du sparade i steg 7.
Använd samma kommando med en certifikatfil för ett slutenhetscertifikat (användare eller dator) som utfärdats av certifikatutfärdaren för att bekräfta CRL:er för både CA och dess kedja.
Lös alla problem som identifierats i kommandoradens utdata.
Generera och publicera nya CRL:er
Om kommandoradens utdata anger att en CRL för en CA har upphört genererar du nya bas- och delta-CRL:er för denna CA och kopierar dem till de nödvändiga platserna. Du måste kanske starta om en offline-CA för detta.
Kontrollera den aktuella listan över återkallade certifikat som är publicerad i certifikatutfärdaren. Som standard skapar certifikatutfärdaren listor över återkallade certifikat i mappen %windir%\System32\CertSrv\CertEnroll. Om de aktuella listorna över återkallade certifikat på denna plats har löpt ut eller är ogiltiga kan du använda följande procedur för att publicera en ny lista över återkallade certifikat.
Publicera en ny CRL med snapin-modulen för certifikatutfärdare:
Klicka på Start på datorn som kör certifikatutfärdaren, peka på Administrationsverktyg och klicka på Certifikatutfärdare.
Markera certifikatutfärdaren och expandera mapparna nedanför CA-namnet.
Högerklicka på mappen Återkallade certifikat.
Klicka på Alla aktiviteter och Publicera.
Du kan även generera och publicera CRL:er från en kommandotolk.
Publicera en CRL med Certutil-kommandoradsverktyget:
Klicka på Start på datorn som kör certifikatutfärdaren, skriv cmd och tryck på RETUR.
Skriv certutil -CRL och tryck på RETUR.
Om en CRL har identifierats som inte tillgänglig men det finns en giltig CRL i det lokala arkivet på certifikatutfärdaren, bekräftar du att CA kan ansluta till CRL-distributionspunkten och använder sedan de föregående stegen för att generera och publicera CRL:er igen.
CRL:er kan publiceras manuellt till Active Directory Domain Services (AD DS) med följande kommando:
certutil -dspublish"<crlname.crl>" ldap:///CN=<CA name>,CN=<CA hostname>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint
Ersätt crlname.crl med namnet på din CRL-fil, <CA-name> och <CA hostname> med ditt CA-namn och namnet på värden där CA:n körs, och <contoso> och <com> med namnområdena för Active Directory-domänen.
Bekräfta konfigurerade CRL-distributionspunkter
Kontrollera alla konfigurerade CRL-distributionspunkter för att bekräfta att publiceringen lyckades och att nya CRL:er finns tillgängliga på nätverket.
För att kunna utföra denna procedur måste du ha behörighet att hantera certifikatutfärdare, eller ha tilldelats lämplig auktoritet.
Kontrollera de konfigurerade CRL-distributionspunkterna med snapin-modulen för certifikatutfärdaren:
Klicka på Start på datorn som kör certifikatutfärdaren, peka på Administrationsverktyg och klicka på Certifikatutfärdare.
Högerklicka på namnet för certifikatutfärdaren (CA) och klicka på Egenskaper.
Klicka på fliken Tillägg.
Granska de konfigurerade CRL-distributionspunkterna och bekräfta att namnen är giltiga.
Kontrollera de konfigurerade CRL-distributionspunkternas URL:er med Certutil:
Öppna ett kommandotolkfönster på certifikatutfärdaren.
Skriv certutil -getreg ca\crlpublicationurls och tryck RETUR.
Granska de konfigurerade CRL-distributionspunkterna och bekräfta att namnen är giltiga.
Kontrollera kön med misslyckade begäranden i certifikatutfärdaren
För att kunna utföra denna procedur måste du ha behörighet att hantera certifikatutfärdare, eller ha tilldelats lämplig auktoritet.
Kontrollera kön med misslyckade begäranden i certifikatutfärdaren med snapin-modulen på CA:
Klicka på Start på datorn som kör certifikatutfärdaren, peka på Administrationsverktyg och klicka på Certifikatutfärdare.
Klicka på Misslyckade begäranden.
Sök efter misslyckade begäranden som skickades vid eller nära händelsen, och kontrollera om det finns ytterligare diagnostikinformation i kolumnerna Fördelningsmeddelande för begäran, Statuskod för begäran och Namn på beställare.
Kontrollera misslyckade begäranden med Certutil:
Klicka på Start på datorn som kör certifikatutfärdaren, skriv cmd och tryck på RETUR.
Skriv certutil -view LogFail och tryck på RETUR.
Skriv certutil -view -restrict requestID="<nnn>" och tryck på RETUR. Ersätt <nnn> med ID för något av de misslyckade begärandena i LogFail-kommandots utdata.
Bekräfta AD DS-anslutning
Bekräfta anslutningen mellan Active Directory-certifikattjänster (AD CS) och AD DS:
Öppna ett kommandotolkfönster i certifikatutfärdaren.
Skriv ping <server_FQDN>, där server_FQDN är fullständigt kvalificerat domännamn (FQDN) för domänkontrollanten (t.ex. server1.contoso.com), och tryck sedan på RETUR.
Om ping-kommandot lyckades, kommer du få ett svar som liknar följande:
Reply from IP_address: bytes=32 time=3ms TTL=59
Reply from IP_address: bytes=32 time=20ms TTL=59
Reply from IP_address: bytes=32 time=3ms TTL=59
Svar från IP_address: bytes=32 time=6ms TTL=59 3
Skriv ping <IP_address> i kommandotolken, där IP_address är domänkontrollantens IP-address, och tryck sedan på RETUR.
Om det går att ansluta till domänkontrollanten via IP-adressen men inte via FQDN kan ett fel ha inträffat med matchningen av värdnamn för Domain Name System (DNS). Om det inte går att ansluta till domänkontrollanten via IP-adress kan det vara problem med nätverksanslutningen, brandväggskonfigurationen eller konfigurationen av IPsec (Internet Protocol Security).
Utfärda ytterligare registreringsutfärdarcertifikat
Denna procedur kan bara utföras om du är medlem i de lokala administratörerna på datorn som kör certifikatutfärdaren (CA) eller så måste du ha tilldelats lämplig auktoritet.
Utfärda ytterligare registreringsutfärdarcertifikat:
Klicka på Start, skriv certtmpl.msc och tryck på RETUR på datorn som kör certifikatutfärdaren (CA).
Gå till informationsfönstret, högerklicka på registreringsutfärdarcertifikatmallen och klicka sedan på Egenskaper.
Lägg till namnen för användarna eller grupperna som du vill utfärda registreringsutfärdarcertifikat för på fliken Säkerhet.
Klicka på ett av de nya objekten i Grupp- eller användarnamn och sedan markerar du kryssrutorna Läs och Registrera under kolumnen Tillåt i Behörigheter forObjectName.
Upprepa det föregående steget för varje nytt objekt och klicka på OK.
Klicka på Start, peka på Administrationsverktyg och klicka på Certifikatutfärdare.
Dubbelklicka på namnet för certifikatutfärdaren.
Högerklicka på behållaren Certifikatmallar, klicka på Ny och sedan på Certifikatmall som ska utfärdas.
Välj certifikatmallen och klicka på OK.
Ändra krav för certifikatmallssignatur
För att kunna utföra denna procedur måste du ha behörighet att hantera certifikatutfärdare, eller ha tilldelats lämplig auktoritet.
Ändra krav för certifikatmallssignatur:
Klicka på Start, skriv certtmpl.msc och tryck på RETUR på datorn som kör certifikatutfärdaren (CA).
Gå till informationsfönstret, högerklicka på certifikatmallen som du vill ändra och klicka sedan på Egenskaper.
Klicka på fliken Krav för utfärdande.
Ange antalet registreringsutfärdarsignaturer som du vill använda under Följande antal auktoriserade signaturer.
Upprepa det föregående steget för varje nytt objekt och klicka på OK.
Klicka på Start, peka på Administrationsverktyg och klicka på Certifikatutfärdare.
Dubbelklicka på namnet för certifikatutfärdaren.
Högerklicka på behållaren Certifikatmallar, klicka på Ny och sedan på Certifikatmall som ska utfärdas.
Välj certifikatmallen och klicka på OK.
Bekräfta att bearbetning av certifikatbegäran fungerar korrekt:
Klicka på Start, skriv certmgr.msc och tryck på RETUR.
Om dialogrutan Kontroll av användarkonto visas bekräftar du att den åtgärd som visas är den du önskar och klickar på Fortsätt.
Dubbelklicka på Personlig i konsolträdet och klicka sedan på Certifikat.
Peka på Alla uppgifter i Åtgärdsmenyn och klicka på Begär nytt certifikat för att starta guiden Registrera certifikat.
Använd guiden för att skapa och skicka en certifikatbegäran för alla typer av tillgängliga certifikat.
Bekräfta att registreringen slutförts och att inga fel har rapporterats under Resultat av certifikatinstallation. Du kan också klicka på Information för att visa ytterligare certifikatinformation.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 56 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.56" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">56</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
</WriteActions>
</Rule>