Odrzucono żądanie certyfikatu.
Jedną z podstawowych funkcji urzędu certyfikacji (CA) jest ocena otrzymywanych od klientów żądań certyfikatów i wystawianie certyfikatów tym klientom pod warunkiem spełnienia wstępnie zdefiniowanych kryteriów. Aby rejestracja certyfikatu powiodła się, przed przesłaniem żądania musi być spełnionych kilka warunków: urząd certyfikacji musi mieć prawidłowy certyfikat urzędu certyfikacji, szablony certyfikatów, konta klientów i żądania certyfikatów muszą być poprawnie skonfigurowane oraz musi istnieć sposób przesyłania żądania klienta do urzędu certyfikacji, sprawdzania tego żądania i instalowania wystawionego certyfikatu.
Rozwiązywanie problemów uniemożliwiających zatwierdzenie żądania certyfikatu
Częstą przyczyną niepowodzenia żądań certyfikatów są problemy ze zbudowaniem łańcucha. Użyj następującej procedury, aby sprawdzić poprawność łańcucha certyfikatów urzędu certyfikacji (CA) i usunąć wszelkie zidentyfikowane problemy:
Sprawdź informacje konta użytkownika w Usługach domenowych Active Directory (AD DS).
Sprawdź informacje szablonu certyfikatu.
Sprawdź łańcuch certyfikatów urzędu certyfikacji.
Sprawdź najnowsze listy odwołania certyfikatów (listy CRL).
Opublikuj nową listę CRL.
Jeśli problem nadal występuje, sprawdź i rozwiąż problemy związane z następującymi obszarami:
Kolejka nieudanych żądań skierowanych do urzędu certyfikacji
Łączność z usługami AD DS
Być może nie są dostępne podpisy wymagane do zakończenia żądania certyfikatu. W takim przypadku:
Zwiększ liczbę użytkowników z certyfikatami urzędu rejestrowania uprawnionych do podpisywania żądań certyfikatów.
Zmodyfikuj szablon certyfikatu, aby wymagał mniejszej liczby podpisów urzędów rejestrowania.
Ponownie prześlij żądanie certyfikatu.
Sprawdzanie informacji konta użytkownika w usługach AD DS
Aby móc wykonać tę procedurę, musisz należeć do grupy Administratorzy domeny lub mieć odpowiednie oddelegowane uprawnienia.
Aby sprawdzić informacje konta użytkownika:
Na kontrolerze domeny kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Użytkownicy i komputery usługi Active Directory.
W drzewie konsoli wybierz domenę i grupę użytkowników, w której powinno znajdować się konto użytkownika.
Jeśli konto użytkownika istnieje, kliknij je prawym przyciskiem myszy, kliknij polecenie Właściwości i upewnij się, że użytkownik posiada prawidłowo skonfigurowaną nazwę w systemie nazw domenowych (DNS).
Sprawdzanie informacji szablonu certyfikatu
Aby móc wykonać tę procedurę, musisz mieć uprawnienie Zarządzaj urzędem certyfikacji lub otrzymać odpowiednie uprawnienia przez oddelegowanie.
Aby sprawdzić informacje szablonu certyfikatu:
Na komputerze udostępniającym urząd certyfikacji kliknij przycisk Start, wpisz polecenie certtmpl.msc i naciśnij klawisz ENTER.
Kliknij prawym przyciskiem myszy szablon certyfikatu, którego dotyczy problem, i upewnij się, że użytkownik lub grupa ma uprawnienia do rejestrowania certyfikatu na podstawie tego szablonu.
Sprawdzanie łańcucha certyfikatów urzędu certyfikacji
Aby zweryfikować łańcuch urzędu certyfikacji:
Kliknij przycisk Start, wpisz polecenie mmc, a następnie naciśnij klawisz ENTER.
Jeśli pojawi się okno dialogowe Kontrola konta użytkownika, potwierdź, że wyświetlana akcja jest odpowiednia, i kliknij przycisk Kontynuuj.
W menu Plik kliknij polecenie Dodaj/Usuń przystawkę, kliknij pozycję Certyfikaty, a następnie kliknij przycisk Dodaj.
Kliknij pozycję Konto komputera, a następnie przycisk Dalej.
Wybierz komputer hostujący urząd certyfikacji, kliknij pozycję Zakończ, a następnie kliknij przycisk OK.
Wybieraj kolejne certyfikaty urzędu certyfikacji w łańcuchu certyfikatów, klikając następnie opcję Wyświetl certyfikat.
Kliknij kartę Szczegóły, a następnie opcję Kopiuj do pliku, aby uruchomić Kreatora eksportu certyfikatów. Zapisz każdy certyfikat, nadając mu rozszerzenie .cer.
Otwórz wiersz polecenia, dla każdego certyfikatu urzędu certyfikacji uruchom następujące polecenie: certutil -urlfetch -verify <certUC.cer> i naciśnij klawisz ENTER. Zastąp ciąg <certUC.cer> nazwą zapisanego w kroku 7 pliku certyfikatu urzędu certyfikacji.
Tego samego polecenia należy użyć z plikiem wystawionego przez dany urząd certyfikacji certyfikatu jednostki końcowej (użytkownika lub komputera), aby potwierdzić poprawność list CRL i łańcucha certyfikatów tego urzędu.
Rozwiąż wszelkie problemy wskazane w danych wyjściowych w wierszu polecenia.
Generowanie i publikowanie nowych list CRL
Jeśli dane wyjściowe w wierszu polecenia wskazują, że lista CRL urzędu certyfikacji wygasła, wygeneruj dla tego urzędu nowe listy CRL (podstawową i różnicową) i skopiuj je do wymaganych lokalizacji. Może to wymagać ponownego uruchomienia urzędu certyfikacji będącego w trybie offline.
Na komputerze urzędu certyfikacji sprawdź aktualną opublikowaną listę CRL. Domyślnie urząd certyfikacji tworzy listy CRL w folderze %windir%\System32\CertSrv\CertEnroll. Jeśli obecne listy CRL w tej lokalizacji wygasły lub są nieważne, możesz opublikować nową listę CRL przy użyciu poniższej procedury.
Aby opublikować nową listę CRL z wykorzystaniem przystawki Urząd certyfikacji:
Na komputerze udostępniającym urząd certyfikacji kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Urząd certyfikacji.
Wybierz urząd certyfikacji i rozwiń foldery pod jego nazwą.
Kliknij prawym przyciskiem myszy folder Odwołane certyfikaty.
Kliknij opcję Wszystkie zadania, a następnie opcję Opublikuj.
Listy CRL można też generować i publikować z wiersza polecenia.
Aby opublikować listę CRL za pomocą narzędzia wiersza polecenia Certutil:
Na komputerze udostępniającym urząd certyfikacji kliknij przycisk Start, wpisz polecenie cmd i naciśnij klawisz ENTER..
Wpisz polecenie certutil -CRL i naciśnij klawisz ENTER.
Jeśli lista CRL jest identyfikowana jako niedostępna, choć w katalogu lokalnym komputera urzędu certyfikacji istnieje poprawna lista CRL, upewnij się, że urząd certyfikacji może nawiązać połączenie z punktem dystrybucji list CRL, a następnie powtórz wcześniejsze kroki, aby ponownie wygenerować i opublikować listy CRL.
Listy CRL można ręcznie publikować w Usługach domenowych Active Directory, używając następującego polecenia:
certutil -dspublish"<nazwa_pliku_crl.crl>" ldap:///CN=<nazwa urzędu certyfikacji>,CN=<nazwa hosta urzędu certyfikacji>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint
Nazwę nazwa_pliku_crl.crl zastąp nazwą używanego pliku listy CRL, zmienne <nazwa urzędu certyfikacji> i <nazwa hosta urzędu certyfikacji> zastąp odpowiednio nazwą urzędu certyfikacji i nazwą hosta, na którym został on uruchomiony, a ciągi <contoso> i <com> zastąp przestrzenią nazw używanej domeny usługi Active Directory.
Sprawdzanie skonfigurowanych punktów dystrybucji list CRL
Sprawdź wszystkie skonfigurowane punkty dystrybucji list CRL, aby upewnić się, że publikacja powiodła się oraz że nowe listy CRL są dostępne w sieci.
Aby wykonać tę procedurę, trzeba posiadać uprawnienie Zarządzaj urzędem certyfikacji lub otrzymać odpowiednie uprawnienia poprzez oddelegowanie.
Aby sprawdzić skonfigurowane punkty dystrybucji list CRL z użyciem przystawki Urząd certyfikacji:
Na komputerze udostępniającym urząd certyfikacji kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Urząd certyfikacji.
Kliknij prawym przyciskiem myszy nazwę urzędu certyfikacji i kliknij opcję Właściwości.
Kliknij kartę Rozszerzenia.
Zapoznaj się ze skonfigurowanymi punktami dystrybucji list CRL i upewnij się, że nazwy są prawidłowe.
Aby sprawdzić adresy URL skonfigurowanych punktów dystrybucji list CRL za pomocą narzędzia Certutil:
Otwórz okno wiersza polecenia na komputerze urzędu certyfikacji.
Wpisz polecenie certutil -getreg ca\crlpublicationurls i naciśnij klawisz ENTER.
Zapoznaj się ze skonfigurowanymi punktami dystrybucji list CRL i upewnij się, że nazwy są prawidłowe.
Sprawdzanie kolejki nieudanych żądań na komputerze urzędu certyfikacji
Aby móc wykonać tę procedurę, musisz mieć uprawnienie Zarządzaj urzędem certyfikacji lub otrzymać odpowiednie uprawnienia przez oddelegowanie.
Aby sprawdzić kolejkę nieudanych żądań na komputerze urzędu certyfikacji w wykorzystaniem przystawki Urząd certyfikacji:
Na komputerze udostępniającym urząd certyfikacji kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Urząd certyfikacji.
Kliknij opcję Żądania nieudane.
Szukaj nieudanych żądań zgłoszonych w czasie zbliżonym do badanego zdarzenia, sprawdzając kolumny Komunikat dyspozycji żądania, Kod stanu żądania i Nazwa żądającego w poszukiwaniu dodatkowych informacji diagnostycznych.
Aby sprawdzić nieudane żądania za pomocą narzędzia Certutil:
Na komputerze hostującym urząd certyfikacji kliknij przycisk Start, wpisz polecenie cmd i naciśnij klawisz ENTER.
Wpisz polecenie certutil -view LogFail i naciśnij klawisz ENTER.
Wpisz polecenie certutil -view -restrict requestID="<nnn>" i naciśnij klawisz ENTER. Zastąp ciąg <nnn> identyfikatorem jednego z zakończonych niepowodzeniem żądań z danych wyjściowych polecenia LogFail.
Sprawdzanie łączności z usługami AD DS
Aby sprawdzić łączność Usług certyfikatów Active Directory (AD CS) z usługami AD DS:
Na komputerze urzędu certyfikacji otwórz okno wiersza polecenia.
Wpisz polecenie ping <serwer_FQDN>, gdzie serwer_FQDN jest w pełni kwalifikowaną nazwą domeny (FQDN) kontrolera domeny (na przykład serwer1.contoso.com), a następnie naciśnij klawisz ENTER.
W przypadku pomyślnego wykonania polecenia ping na ekranie powinna pojawić się odpowiedź podobna do następującej:
Reply from adres_IP: bytes=32 time=3ms TTL=59
Reply from adres_IP: bytes=32 time=20ms TTL=59
Reply from adres_IP: bytes=32 time=3ms TTL=59
Reply from adres_IP: bytes=32 time=6ms TTL=59 3
W wierszu polecenia wpisz polecenie ping <adres_IP>, gdzie adres_IP jest adresem IP kontrolera domeny, a następnie naciśnij klawisz ENTER.
Jeśli udaje się nawiązać połączenie z kontrolerem domeny według jego adresu IP, ale nie według nazwy FQDN, może to wskazywać na problem z rozpoznawaniem nazw hostów w systemie nazw domen (DNS). Jeśli nie można nawiązać połączenia z kontrolerem domeny według adresu IP, może to oznaczać problem z łącznością sieciową, konfiguracją zapory lub konfiguracją zabezpieczeń protokołu internetowego (IPsec).
Wystawianie dodatkowych certyfikatów urzędu rejestrowania
Aby móc wykonać tę procedurę, musisz należeć do lokalnej grupy Administratorzy na komputerze hostującym urząd certyfikacji lub mieć odpowiednie uprawnienia oddelegowane.
Aby wystawić dodatkowe certyfikaty urzędu rejestrowania:
Na komputerze udostępniającym urząd certyfikacji kliknij przycisk Start, wpisz polecenie certtmpl.msc i naciśnij klawisz ENTER.
W okienku szczegółów kliknij prawym przyciskiem myszy szablon certyfikatu urzędu rejestracji, a następnie kliknij polecenie Właściwości.
Na karcie Zabezpieczenia dodaj nazwy użytkowników lub grup, którym będą wystawiane certyfikaty urzędu rejestrowania.
Kliknij jeden z nowych obiektów na liście grup lub użytkowników, a następnie w jego sekcji Uprawnienia zaznacz w kolumnie Zezwalaj pola wyboru Odczyt i Rejestrowanie się.
Powtórz poprzedni krok dla wszystkich nowych obiektów i kliknij przycisk OK.
Kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Urząd certyfikacji.
Dwukrotnie kliknij nazwę urzędu certyfikacji.
Kliknij prawym przyciskiem myszy kontener Szablony certyfikatów, kliknij opcję Nowy, a następnie kliknij opcję Szablon certyfikatu do wystawienia.
Wybierz szablon certyfikatu i kliknij przycisk OK.
Modyfikowanie wymagań podpisów dla szablonu certyfikatu
Aby móc wykonać tę procedurę, musisz mieć uprawnienie Zarządzaj urzędem certyfikacji lub otrzymać odpowiednie uprawnienia przez oddelegowanie.
Aby zmodyfikować wymagania podpisów dla szablonu certyfikatu:
Na komputerze udostępniającym urząd certyfikacji kliknij przycisk Start, wpisz polecenie certtmpl.msc i naciśnij klawisz ENTER.
W okienku szczegółów kliknij prawym przyciskiem myszy szablon certyfikatu, który będzie modyfikowany, a następnie kliknij opcję Właściwości.
Kliknij kartę Wymagania wystawiania.
W polu Liczba autoryzowanych podpisów wpisz pożądaną liczbę podpisów urzędów rejestrowania.
Powtórz poprzedni krok dla wszystkich nowych obiektów i kliknij przycisk OK.
Kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Urząd certyfikacji.
Dwukrotnie kliknij nazwę urzędu certyfikacji.
Kliknij prawym przyciskiem myszy kontener Szablony certyfikatów, kliknij opcję Nowy, a następnie kliknij opcję Szablon certyfikatu do wystawienia.
Wybierz szablon certyfikatu i kliknij przycisk OK.
Aby upewnić się, że przetwarzanie żądań certyfikatów działa poprawnie:
Kliknij przycisk Start, wpisz certmgr.msc i naciśnij klawisz ENTER.
Jeśli pojawi się okno dialogowe Kontrola konta użytkownika, potwierdź, że wyświetlana akcja jest odpowiednia, i kliknij przycisk Kontynuuj.
W drzewie konsoli kliknij dwukrotnie pozycję Osobiste, a następnie kliknij pozycję Certyfikaty.
W menu Akcja wskaż polecenie Wszystkie zadania i kliknij opcję Żądaj nowego certyfikatu, aby uruchomić Kreatora rejestracji certyfikatów.
Za pomocą kreatora utwórz i prześlij żądanie certyfikatu jednego z dostępnych typów.
W obszarze Wyniki instalacji certyfikatów upewnij się, że rejestracja została pomyślnie ukończona i nie zostały zgłoszone żadne błędy. Można też kliknąć opcję Szczegóły, aby wyświetlić dodatkowe informacje o certyfikacie.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 56 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.56" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">56</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
</WriteActions>
</Rule>