Er is een certificaataanvraag geweigerd.
Een van de belangrijkste functies van een certificeringsinstantie (CA) is het evalueren van certificaataanvragen van clients en, als wordt voldaan aan vooraf gedefinieerde criteria, het verlenen van certificaten aan die clients. Om de certificaatinschrijving te voltooien moet een aantal elementen zijn geïmplementeerd voordat de aanvraag kan worden ingediend, inclusief een CA met een geldig CA-certificaat; op de juiste manier geconfigureerde certificaatsjablonen, clientaccounts en certificaataanvragen; en een manier voor de client om de aanvraag bij de CA in te dienen, de aanvraag te laten valideren en het verleende certificaat te installeren.
Problemen oplossen die verhinderen dat een certificaataanvraag wordt goedgekeurd
Problemen bij het maken van ketens zijn er vaak de oorzaak van dat certificaataanvragen niet kunnen worden verwerkt. Gebruik de volgende procedure om de certificaatketen te valideren voor de certificeringsinstantie (CA) en los eventuele problemen op die worden gemeld:
Controleer de gebruikersaccountgegevens in Active Directory Domain Services (AD DS).
Controleer de certificaatsjabloongegevens.
Controleer de certificaatketen van de CA.
Controleer de meest recente CRL's (Certificaatintrekkingslijsten).
Publiceer een nieuwe CRL.
Als hiermee het probleem niet is verholpen, controleert u of zich in de volgende gebieden problemen voordoen en repareert u deze:
De wachtrij met mislukte aanvragen van de CA
De AD DS-verbinding
Handtekeningen die zijn vereist om de certificaataanvraag te voltooien, zijn mogelijk niet beschikbaar. Ga als volgt te werk als dit het geval is:
Schakel extra gebruikers met certificaten van de registratie-instantie in om certificaataanvragen te ondertekenen.
Wijzig de certificaatsjabloon zodat er minder handtekeningen van de registratie-instantie nodig zijn.
Dien de certificaataanvraag opnieuw in.
De gebruikersaccountgegevens in AD DS controleren
Als u deze procedure wilt uitvoeren, moet u lid zijn van de groep Domeinadministrators of moet aan u de juiste bevoegdheid zijn gedelegeerd.
Controleer als volgt de gebruikersaccountgegevens:
Klik in een domeincontroller op Start, wijs Systeembeheer aan en klik op Active Directory: gebruikers en computers.
Selecteer in de consolestructuur het domein en de gebruikersgroep waarin het gebruikersaccount zich moet bevinden.
Als het gebruikersaccount bestaat, klikt u met de rechtermuisknop op het account, klikt u op Eigenschappen en controleert u of de gebruiker over een DNS-naam (Domain Name System) beschikt die goed is geconfigureerd.
De certificaatsjabloongegevens controleren
U moet de machtiging CA beheren hebben of aan u moet de juiste bevoegdheid zijn gedelegeerd om deze procedure te kunnen uitvoeren.
Controleer als volgt de certificaatsjabloongegevens:
Klik op de computer die als host van de CA optreedt op Start, typ certtmpl.msc en druk op ENTER.
klik met de rechtermuisknop op de certificaatsjabloon die mogelijk de problemen veroorzaakt en controleer of de gebruiker of de groep machtigingen heeft om zich op basis van deze sjabloon in te schrijven voor een certificaat.
Controleer de certificaatketen voor de CA
Ga als volgt te werk om de keten voor de CA te valideren:
Klik op Start, typ mmc en druk op ENTER.
Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, controleert u of de gewenste actie wordt weergegeven en klikt u op Doorgaan.
Klik in het menu Bestand op Module toevoegen/verwijderen, klik op Certificaten en klik vervolgens op Toevoegen.
Klik op Computeraccount en klik op Volgende.
Selecteer de computer die als host van de CA optreedt, klik op Voltooien en klik vervolgens op OK.
Selecteer elk CA-certificaat in de certificaatketen en klik op Certificaat weergeven.
Klik op het tabblad Details en klik op Kopiëren naar bestand om de wizard Certificaat exporteren te starten. Sla elk certificaat op met de extensie .cer.
Open een opdrachtregel en voer de volgende opdracht uit op ieder CA-certificaat: certutil -urlfetch -verify <CAcert.cer> en druk op ENTER. Vervang <CAcert.cer> door de naam van het bestand van een CA-certificaat dat u hebt opgeslagen in stap 7.
Gebruik dezelfde opdracht bij een certificaatbestand voor een eindentiteitcertificaat (gebruiker of computer) die door de CA is verleend om CRL's voor de CA zelf en de bijbehorende keten te controleren.
Problemen oplossen die worden vermeld in de uitvoer van de opdrachtregel.
Nieuwe CRL's genereren en publiceren
Als de uitvoer van de opdrachtregel aangeeft dat een CRL voor een CA is verlopen, genereert u nieuwe basis- en delta-CRL's voor de CA en kopieert u ze naar de vereiste locaties. Mogelijk moet u een CA die offline is, opnieuw starten om deze bewerking te kunnen uitvoeren.
Controleer op de CA de huidige gepubliceerde CRL. Standaard maakt de CA CRL's in de map %windir%\System32\CertSrv\CertEnroll. Als de CRL's die momenteel op deze locatie staan, zijn verlopen of ongeldig zijn, kunt u de volgende procedure gebruiken om een nieuwe CRL te publiceren.
Ga als volgt te werk om een nieuwe CRL te publiceren met de module Certificeringsinstantie:
Klik op de computer die als host van de CA optreedt, op Start, wijs Systeembeheer aan en klik op Certificeringsinstantie.
Selecteer de CA en vouw de mappen onder de naam van de CA uit.
Klik met de rechtermuisknop op de map Ingetrokken certificaten.
Klik op Alle taken en klik vervolgens op Publiceren.
U kunt CRL's ook genereren en publiceren vanaf de opdrachtprompt.
Ga als volgt te werk om een certificaatintrekkingslijst te publiceren met het opdrachtregelhulpprogramma Certutil:
Klik op de computer die als host van de CA optreedt op Start, typ cmd en druk op ENTER.
Typ certutil -CRL en druk op ENTER.
Als wordt vastgesteld dat een CRL niet beschikbaar is, maar dat er een geldige CRL bestaat in de lokale map van de CA, moet u controleren of de CA verbinding kan maken met het CRL-distributiepunt en vervolgens de voorgaande stappen nemen om opnieuw CRL's te genereren en te publiceren.
CRL's kunnen handmatig naar Active Directory Domain Services (AD DS) worden gepubliceerd met de volgende opdracht:
certutil -dspublish"<crlname.crl>" ldap:///CN=<CA-naam>,CN=<CA-hostnaam>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint
Vervang crlname.crl door de naam van uw CRL-bestand, <CA-naam> en <CA-hostnaam> door uw CA-naam en de naam van de host waarop die CA wordt uitgevoerd en <contoso> en <com> door de naamruimte van uw Active Directory-domein.
Geconfigureerde CRL-distributiepunten controleren
Controleer alle geconfigureerde CRL-distributiepunten om vast te stellen of de publicatie is voltooid en of er nieuwe CRL's beschikbaar zijn op het netwerk.
U moet de machtiging CA beheren hebben of aan u moet de juiste bevoegdheid zijn gedelegeerd om deze procedure te kunnen uitvoeren.
Ga als volgt te werk om de geconfigureerde CRL-distributiepunten te controleren met de module Certificeringsinstantie:
Klik op de computer die als host van de CA optreedt, op Start, wijs Systeembeheer aan en klik op Certificeringsinstantie.
Klik met de rechtermuisknop op de naam van de CA en klik op Eigenschappen.
Klik op het tabblad Extensies.
Bekijk de geconfigureerde CRL-distributiepunten en controleer of de namen geldig zijn.
Ga als volgt te werk om de URL's van de geconfigureerde CRL-distributiepunten te controleren met Certutil:
Open een opdrachtpromptvenster op de CA.
Typ certutil -getreg ca\crlpublicationurls en druk op ENTER.
Bekijk de geconfigureerde CRL-distributiepunten en controleer of de namen geldig zijn.
Controleer de wachtrij met mislukte aanvragen van de CA
U moet de machtiging CA beheren hebben of aan u moet de juiste bevoegdheid zijn gedelegeerd om deze procedure te kunnen uitvoeren.
Ga als volgt te werk om de wachtrij met mislukte aanvragen van de CA te controleren met de module Certificeringsinstantie:
Klik op de computer die als host van de CA optreedt op Start, wijs Systeembeheer aan en klik op Certificeringsinstantie.
Klik op Mislukte aanvragen.
Zoek naar de mislukte aanvragen die zijn ingediend op of rond de tijd van de gebeurtenis en controleer de kolommen Bericht over status aanvraag, Statuscode van aanvraag en Naam van aanvrager op extra diagnostische gegevens.
Controleer als volgt mislukte aanvragen met Certutil:
Klik op de computer die als host van de CA optreedt op Start, typ cmd en druk op ENTER.
Typ certutil -view LogFail en druk op ENTER.
Typ certutil -view -restrict requestID="<nnn>" en druk op ENTER. Vervang <nnn> door de aanvraag-id van een van de mislukte aanvragen in de uitvoer van de opdracht LogFail.
De AD DS-verbinding controleren
Controleer als volgt een verbinding tussen Active Directory Certificate Services (AD CS) en AD DS:
Open in de CA een opdrachtpromptvenster.
Typ ping <server_FQDN>, waarbij server_FQDN de volledige gekwalificeerde domeinnaam (FQDN) van de domeincontroller is (bijvoorbeeld server1.contoso.com). Druk vervolgens op ENTER.
Als de ping is geslaagd, ontvangt u een antwoord dat op het volgende lijkt:
Antwoord van IP_adres: bytes=32 time=3ms TTL=59
Antwoord van IP_adres: bytes=32 time=20ms TTL=59
Antwoord van IP_adres: bytes=32 time=3ms TTL=59
Antwoord van IP_adres: bytes=32 time=6ms TTL=59 3
Typ ping <IP_adres> op de opdrachtregel, waarbij IP_adres het IP-adres van de domeincontroller is, en druk dan op ENTER.
Als u wel verbinding met de domeincontroller kunt maken via het IP-adres, maar niet via FQDN, geeft dit aan dat er mogelijk een probleem is met de DNS-hostnaamomzetting (Domain Name System). Als u geen verbinding met de domeincontroller kunt maken via het IP-adres, geeft dit aan dat er mogelijk een probleem is met de netwerkverbinding, de configuratie van de firewall of de IPsec-configuratie (Internet Protocol security).
Extra certificaten van de registratie-instantie verlenen
Als u deze procedure wilt uitvoeren, moet u lid zijn van de groep lokale administrators op de computer die als host van de CA optreedt of moet aan u de juiste bevoegdheid zijn gedelegeerd.
Verleen als volgt extra certificaten van de registratie-instantie:
Klik op de computer die als host van de CA optreedt op Start, typ certtmpl.msc en druk op ENTER.
Klik met de rechtermuisknop in het detailvenster op de certificaatsjabloon van de registratie-instantie en klik vervolgens op Eigenschappen.
Voeg op het tabblad Beveiliging de namen van de gebruikers of groepen in aan wie u certificaten van de registratie-instantie wilt verlenen.
Klik in Namen van groepen of gebruikers op een van de nieuwe objecten en schakel vervolgens bij Machtigingen voor objectnaam onder de kolom Toestaan de selectievakjes Lezen en Inschrijven in.
Herhaal de vorige stap voor elk nieuwe object en klik op OK.
Klik op Start, wijs Systeembeheer aan en klik op Certificeringsinstantie.
Dubbelklik op de naam van de CA.
Klik met de rechtermuisknop op de container Certificaatsjablonen, klik op Nieuw en klik vervolgens op Te verlenen certificaatsjablonen.
Selecteer de certificaatsjabloon en klik op OK.
De handtekeningvereisten voor certificaatsjablonen wijzigen
U moet de machtiging CA beheren hebben of aan u moet de juiste bevoegdheid zijn gedelegeerd om deze procedure te kunnen uitvoeren.
Wijzig als volgt de handtekeningvereisten voor certificaatsjablonen:
Klik op de computer die als host van de CA optreedt op Start, typ certtmpl.msc en druk op ENTER.
Klik in de consolestructuur met de rechtermuisknop op de certificaatsjabloon die u wilt wijzigen en klik vervolgens op Eigenschappen.
Klik op het tabblad Uitgiftevereisten.
Voer onder Dit aantal geautoriseerde handtekeningen het aantal handtekeningen van de registratie-instantie in dat u wilt gebruiken.
Herhaal de vorige stap voor elk nieuwe object en klik op OK.
Klik op Start, wijs Systeembeheer aan en klik op Certificeringsinstantie.
Dubbelklik op de naam van de CA.
Klik met de rechtermuisknop op de container Certificaatsjablonen, klik op Nieuw en klik vervolgens op Te verlenen certificaatsjablonen.
Selecteer de certificaatsjabloon en klik op OK.
Controleer als volgt of de verwerking van de certificaataanvraag goed functioneert:
Klik op Start, typ certmgr.msc en druk vervolgens op ENTER.
Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, controleert u of de gewenste actie wordt weergegeven en klikt u op Doorgaan.
Dubbelklik in de consolestructuur op Persoonlijk en klik vervolgens op Certificaten.
Wijs in het menu Actie de optie Alle taken aan en klik op Nieuw certificaat aanvragen om de wizard Certificaat inschrijven te starten.
Gebruik de wizard om een certificaataanvraag te maken en in te dienen voor alle typen certificaten die beschikbaar zijn.
Controleer onder Resultaten van certificaatinstallatie of de inschrijving wordt voltooid en of er geen fouten worden gerapporteerd. U kunt ook op Details klikken om extra gegevens over het certificaat weer te geven.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 56 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.56" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">56</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
</WriteActions>
</Rule>