Bir sertifika isteği reddedildi.
Sertifika yetkilisinin (CA) birincil işlevlerinden biri, istemcilerin gelen sertifika isteklerini değerlendirmek ve önceden tanımlanmış ölçütlerin karşılanması durumunda, söz konusu istemcilere sertifika vermektir. Sertifika kaydının başarılı olması için, istek gönderilmeden önce birkaç koşulun yerine getirilmiş olması gerekir. Bu koşullara, geçerli bir CA sertifikasına sahip bir CA; doğru şekilde yapılandırılmış sertifika şablonları, istemci hesapları ve sertifika istekleri ve istemcinin isteği CA'ya göndermesi, isteğin doğrulanmasını sağlaması ve verilen sertifikayı yüklemesi için bir yol dahildir.
Bir sertifika isteğinin onaylanmasını engelleyen durumları ortadan kaldırın
Zincir oluşturma sorunları, sertifika isteklerinin başarısız olmasında yaygın bir nedendir. Sertifika yetkilisine (CA) yönelik sertifika zincirini doğrulamak ve tanımlanan sorunları düzeltmek için aşağıdaki yordamı kullanın:
Active Directory Etki Alanı Hizmetleri'ndeki (AD DS) kullanıcı hesabı bilgisini onaylayın.
Sertifika şablon bilgisini onaylayın.
CA'ya yönelik sertifika zincirini onaylayın.
En son sertifika iptal listelerini (CRL'ler) denetleyin.
Yeni bir CRL yayımlayın.
Bu sorunu çözmezse, aşağıdaki alanlardaki sorunları denetleyin ve çözün:
CA'ya yönelik başarısız istek sırası
AD DS bağlantısı
Sertifika isteğini tamamlamak için gerekli imzalar kullanılabilir olmayabilir. Bu durum geçerliyse:
Kayıt yetkilisi sertifikalarına sahip ek kullanıcıları, sertifika isteklerini imzalamak üzere etkinleştirin.
Sertifika şablonunu, daha az kayıt yetkilisi imzası gerektirecek şekilde değiştirin.
Sertifika isteğini tekrar gönderin.
AD DS'de kullanıcı hesabı bilgilerini onaylayın
Bu yordamı gerçekleştirmek için Domain Admins olanağında üyeliğe sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.
Kullanıcı hesabı bilgisini onaylamak için:
Etki alanı denetleyicisi üzerinde, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Active Directory Kullanıcıları ve Bilgisayarları'na tıklayın.
Konsol ağacında, kullanıcının hesabının bulunması gereken etki alanı ve kullanıcı grubunu seçin.
Kullanıcı hesabı varsa, hesaba sağ tıklayın, Özellikler'e tıklayın ve kullanıcının Etki Alanı Adı Sistemi (DNS) adını doğru şekilde yapılandırdığını onaylayın.
Sertifika şablon bilgilerini onaylayın
Bu yordamı gerçekleştirmek için CA'yı Yönet izinlerine sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.
Sertifika şablon bilgisini onaylamak için:
CA'yı barındıran bilgisayar üzerinde, Başlat'a tıklayın, certtmpl.msc yazın ve ENTER tuşuna basın.
Üzerinde sorun giderme çalışması yaptığınız sertifika şablonuna sağ tıklayın ve kullanıcının veya grubun bu şablonu temel alan bir sertifikayı kaydetme izinlerine sahip olduğunu onaylayın.
CA'ya yönelik sertifika zincirini onaylayın
CA'ya yönelik sertifika zincirini doğrulamak için:
Başlat'a tıklayın, mmc yazın ve sonra ENTER tuşuna basın.
Kullanıcı Hesabı Denetimi iletişim kutusu görüntülenirse, kutuda görüntülenen eylemin istediğiniz eylem olduğunu doğrulayın ve ardından Devam'a tıklayın.
Dosya menüsünde, Ek Bileşen Ekle/Kaldır'a tıklayın, Sertifikalar'a tıklayın ve sonra Ekle'ye tıklayın.
Bilgisayar hesabına ve İleri'ye tıklayın.
CA'yı barındıran bilgisayarı seçin, Son'a ve sonra Tamam'a tıklayın.
Sertifika zincirindeki her bir CA sertifikasını seçin ve Sertifikayı Görüntüle'ye tıklayın.
Ayrıntılar sekmesine tıklayın ve Sertifika Dışa Aktarma Sihirbazını başlatmak için Dosyaya Kopyala'ya tıklayın. Her sertifikayı .cer uzantısıyla kaydedin.
Bir komut istemi penceresi açın ve her bir CA sertifikasına şu komutu yazın: certutil -urlfetch -verify <CAcert.cer> ve sonra ENTER tuşuna basın. <CAcert.cer> ifadesini 7. adımda kaydettiğiniz CA sertifikasının adıyla değiştirin.
CA'nın zincirinin yanı sıra kendisine yönelik CRL'leri onaylamak için, CA tarafından verilen bir son varlık (kullanıcı veya bilgisayar) sertifikasına yönelik bir sertifika dosyasıyla aynı komutu kullanın.
Komut satırı çıktısında tanımlanan tüm sorunları çözün.
Yeni CRL'ler oluşturun ve yayımlayın
Komut satırı çıktısı bir CA'ya yönelik bir CRL'nin süresinin bittiğini gösteriyorsa, CA üzerinde yeni temel ve delta CRL'ler oluşturun ve bunları gerekli konumlara kopyalayın. Bunu yapmak için bir çevrimiçi CA'yı yeniden başlatmanız gerekebilir.
CA'da yayımlanmış geçerli CRL'yi denetleyin. Varsayılan olarak, CA CRL'leri %windir%\System32\CertSrv\CertEnroll klasöründe oluşturur. Geçerli olarak bu konumda bulunan CRL'lerin süresinin bitmiş veya geçersiz olması durumunda, yeni bir CRL yayımlamak için aşağıdaki yordamı kullanabilirsiniz.
Sertifika Yetkilisi ek bileşenini kullanarak yeni bir CRL yayımlamak için:
CA'yı barındıran bilgisayarda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Sertifika Yetkilisi'ne tıklayın.
CA'yı seçin ve CA adının altındaki klasörleri genişletin.
İptal Edilen Sertifikalar klasörüne sağ tıklayın.
Tüm Görevler'e ve sonra Yayımla'ya tıklayın.
Ayrıca, CRL'leri bir komut isteminden oluşturabilir ve yayımlayabilirsiniz.
Certutil komut satırı aracını kullanarak bir CRL yayımlamak için:
CA'yı barındıran bilgisayar üzerinde, Başlat'a tıklayın, cmd yazın ve ENTER tuşuna basın.
certutil -CRL yazın ve ENTER tuşuna basın.
Bir CRL kullanılamıyor olarak tanımlanmışsa, ancak CA üzerindeki yerel dizinde geçerli bir CRL varsa, CA'nın CRL dağıtım noktasına bağlanabildiğini onaylayın ve sonra CRL'leri tekrar oluşturmak ve yayımlamak için önceki adımları gerçekleştirin.
CRL'ler şu komut kullanılarak Active Directory Etki Alanı Hizmetleri'ne (AD DS) el ile yayımlanabilir:
certutil -dspublish"<crlname.crl>" ldap:///CN=<CA adı>,CN=<CA ana bilgisayar adı>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint
crlname.crl ifadesini CRL dosyanızın adıyla, <CA adı> ve <CA ana bilgisayar adı>nı CA'nızın adı ve bu CA'nın çalıştırıldığı ana bilgisayarın adıyla ve <contoso> ve <com> öğelerini de Active Directory etki alanınızın ad alanıyla değiştirin.
Yapılandırılan CRL dağıtım noktalarını onaylayın
Yayımın başarılı olduğunu ve yeni CRL'lerin ağ üzerinde kullanılabilir olduğunu onaylamak için tüm yapılandırılan CRL dağıtım noktalarını denetleyin.
Bu yordamı gerçekleştirmek için CA'yı Yönet izinlerine sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.
Yapılandırılan CRL dağıtım noktalarını Sertifika Yetkilisi ek bileşenini kullanarak denetlemek için:
CA'yı barındıran bilgisayarda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Sertifika Yetkilisi'ne tıklayın.
CA'nın adına sağ tıklayın ve Özellikler'e tıklayın.
Uzantılar sekmesine tıklayın.
Yapılandırılan CRL dağıtım noktalarını gözden geçirin ve adların geçerli olduğunu onaylayın.
Yapılandırılan CRL dağıtım noktası URL'lerini Certutil olanağını kullanarak denetlemek için:
CA üzerinde bir komut istemi penceresi açın.
certutil -getreg ca\crlpublicationurls yazın ve ENTER tuşuna basın.
Yapılandırılan CRL dağıtım noktalarını gözden geçirin ve adların geçerli olduğunu onaylayın.
CA üzerindeki başarısız istek sırasını denetleyin
Bu yordamı gerçekleştirmek için CA'yı Yönet izinlerine sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.
CA üzerindeki başarısız istek sırasını Sertifika Yetkilisi ek bileşenini kullanarak denetlemek için:
CA'yı barındıran bilgisayarda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Sertifika Yetkilisi'ne tıklayın.
Başarısız İstekler'e tıklayın.
Olay zamanında veya buna yakın bir zamanda gönderilen başarısız istekleri arayın ve ek tanılama bilgileri için İstek Sıralama İletisi, Durum Kodu İste ve İstek Sahibi Adı gibi sütunları denetleyin.
Başarısız istekleri Certutil olanağını kullanarak denetlemek için:
CA'yı barındıran bilgisayar üzerinde Başlat'a tıklayın, cmd yazın ve ENTER tuşuna basın.
certutil -view LogFail yazın ve ENTER tuşuna basın.
certutil -view -restrict requestID="<nnn>" yazın ve ENTER tuşuna basın. <nnn> ifadesini LogFail komutunun çıktısındaki başarısız olan isteklerden birinin İstek Kimliği ile değiştirin.
AD DS bağlantısını onaylayın
AD DS'ye yönelik Active Directory Sertifika Hizmetleri (AD CS) bağlantısını onaylamak için:
CA üzerinde, bir komut istemi penceresi açın.
ping <server_FQDN> yazın (burada server_FQDN, etki alanı denetleyicisinin tam etki alanı adıdır (FQDN) (örneğin, server1.contoso.com)) ve ENTER tuşuna basın.
Ping başarılı olduğunda aşağıdakine benzer bir yanıt alırsınız:
IP_address yanıtı: bayt=32 süre=3ms TTL=59
IP_address yanıtı: bayt=32 süre=20ms TTL=59
IP_address yanıtı: bayt=32 süre=3ms TTL=59
Reply from IP_address: bytes=32 time=6ms TTL=59 3
Komut isteminde ping <IP_address> yazın (burada IP_address, etki alanı denetleyicisinin IP adresidir) ve ardından ENTER tuşuna basın.
Etki alanı denetleyicisine bağlantının IP adresiyle başarılı olması ancak FQDN ile başarısız olması, Etki Alanı Adı Sistemi (DNS) ana bilgisayar ad çözümlemesiyle ilgili olası bir sorun olduğunu gösterir. Etki alanı denetleyicisine bağlantının IP adresiyle başarısız olması, ağ bağlantısı, güvenlik duvarı yapılandırması veya Internet Protokolü güvenliği (IPsec) yapılandırmasıyla ilgili olası bir sorun olduğunu gösterir.
Ek kayıt yetkilisi sertifikaları verin
Bu yordamı gerçekleştirmek için CA'yı barındıran bilgisayar üzerinde yerel Administrators grubunun üyesi olmanız veya uygun yetkinin size verilmiş olması gerekir.
Ek kayıt yetkilisi sertifikaları vermek için:
CA'yı barındıran bilgisayar üzerinde, Başlat'a tıklayın, certtmpl.msc yazın ve sonra ENTER tuşuna basın.
Ayrıntılar bölmesinde, kayıt yetkilisi sertifika şablonuna sağ tıklayın ve sonra Özellikler'e tıklayın.
Güvenlik sekmesinde, kayıt yetkilisi sertifikaları vermek istediğiniz kullanıcıların veya grupların adlarını ekleyin.
Grup ya da kullanıcı adları alanında, yeni nesnelerden birine tıklayın ve sonra ObjectName için İzinler alanında, İzin Ver sütununun altında, Okuma ve Kayıt onay kutularını seçin.
Her yeni nesne için önceki adımı yineleyin ve Tamam'a tıklayın.
Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Sertifika Yetkilisi'ne tıklayın.
CA'nın adına çift tıklayın.
Sertifika Şablonları kapsayıcısına sağ tıklayın, Yeni'ye tıklayın ve sonra Verilecek Sertifika Şablonu'na tıklayın.
Sertifika şablonunu seçin ve Tamam'a tıklayın.
Sertifika şablonu imza gerekliliklerini değiştirin
Bu yordamı gerçekleştirmek için CA'yı Yönet izinlerine sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.
Sertifika şablonu imza gerekliliklerini değiştirmek için:
CA'yı barındıran bilgisayar üzerinde, Başlat'a tıklayın, certtmpl.msc yazın ve sonra ENTER tuşuna basın.
Ayrıntılar bölmesinde, değiştirmek istediğiniz sertifika şablonuna sağ tıklayın ve sonra Özellikler'e tıklayın.
Verme Gereklilikleri sekmesine tıklayın.
Şu sayıda yetkili imza altında, kullanmak istediğiniz kayıt yetkilisi imzası sayısını girin.
Her yeni nesne için önceki adımı yineleyin ve Tamam'a tıklayın.
Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Sertifika Yetkilisi'ne tıklayın.
CA'nın adına çift tıklayın.
Sertifika Şablonları kapsayıcısına sağ tıklayın, Yeni'ye tıklayın ve sonra Verilecek Sertifika Şablonu'na tıklayın.
Sertifika şablonunu seçin ve Tamam'a tıklayın.
Sertifika isteği işleme olanağının doğru şekilde çalıştığını onaylamak için:
Başlat'a tıklayın, certmgr.msc yazın ve sonra ENTER tuşuna basın.
Kullanıcı Hesabı Denetimi iletişim kutusu görüntülenirse, burada görüntülenen eylemin istediğiniz eylem olduğunu doğrulayın ve sonra Devam'a tıklayın.
Konsol ağacında, Kişisel öğesine çift tıklayın ve sonra Sertifikalar öğesine tıklayın.
Eylem menüsünde, Tüm Görevler'in üzerine gidin ve Sertifika Kaydı sihirbazını başlatmak için Yeni Sertifika İste öğesine tıklayın.
Kullanılabilir herhangi bir tür sertifika için sertifika isteği oluşturmak ve göndermek üzere sihirbazı kullanın.
Sertifika Yükleme Sonuçları altında, kaydın başarıyla tamamlandığını ve hata bildirilmediğini onaylayın. Ayrıca, sertifikayla ilgili ek bilgileri görüntülemek için Ayrıntılar öğesine tıklayabilirsiniz.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 56 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.56" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">56</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
</WriteActions>
</Rule>