Ett certifikat i kedjan för CA-certifikatet har upphört.
Kedje- eller sökvägsvalidering är processen genom vilket slutenhetscertifikat (användare eller dator) och alla certifikatutfärdarcertifikat behandlas hierarkiskt tills certifikatkedjan avslutas vid betrott, självsignerat certifikat. Det är vanligtvis ett rot-CA-certifikat. Start av Active Directory-certifikattjänster (AD CS) kan misslyckas om det finns problem med CA-certifikatets tillgänglighet, giltighet eller kedjevalidering.
Utfärda certifikat i kedjan på nytt för ett CA-certifikat som har upphört
Certifikatutfärdarcertifikatet som har upphört identifieras i händelseloggen. Så här löser du problemet:
Kontrollera om certifikatet har upphört.
Bekräfta certifikatkedjan.
Om problemet kvarstår aktiverar du CryptoAPI 2.0-diagnostik, löser alla fel som hittas och utfärdar sedan och installerar de upphörda certifikaten på nytt.
För att kunna utföra dessa procedurer måste du ha behörighet att hantera certifikatutfärdare, eller ha tilldelats lämplig auktoritet.
Kontrollera utgångsdatum för CA-certifikat
Kontrollera om ett specifikt certifikat har upphört:
Klicka på Start på datorn som kör certifikatutfärdaren, peka på Administrationsverktyg och klicka på Certifikatutfärdare.
Högerklicka på certifikatutfärdarpunkten och klicka på Egenskaper.
Certifikat som har upphört visas med ordet (upphört) i listan över CA-certifikat. Om alla CA-certifikat har upphört måste du förnya CA-certifikatet och utfärda alla certifikat nedanför det upphörda CA-certifikatet på nytt.
Förnya CA-certifikatet genom att högerklicka på certifikatutfärdarpunkten, peka på Alla uppgifter och klicka sedan på Förnya certifikatutfärdarens certifikat.
Start om certifikatutfärdaren när CA-certifikatet har förnyats.
Om det finns certifikat som inte har upphört i listan söker du efter certifikatet vars CA-versionsnummer stämmer överens med felmeddelandets nyckel-ID. Om nyckel-ID till exempel är 2 är korrekt certifikat version 2.1 eller 2.2 av certifikatutfärdaren.
Om det här certifikatet inte har löpt ut kontrollerar du om det finns problem med certifikatkedjan. Exportera certifikatet till en fil, öppna kommandotolken, skriv certutil -urlfetch -verify<CAcert.cer> och tryck på RETUR. (Ersätt CAcert.cer med namnet på certifikatfilen.)
Aktivera CryptoAPI 2.0-diagnostik
Aktivera CryptoAPI 2.0-diagnostik:
Klicka på Start på datorn som kör certifikatutfärdaren, peka på Administrationsverktyg och klicka på Loggboken.
Expandera Loggboken, Program- och tjänsteloggar, Microsoft, Windows och CAPI2 i konsolträdet.
Högerklicka på Arbetsloggen och klicka på Aktivera logg.
Klicka på Start, peka på Administrationsverktyg och klicka på Tjänster.
Högerklicka på Active Directory-certifikattjänster och klicka på Starta om.
Bekräfta att certifikatutfärdarcertifikatet och kedjan är giltiga:
Klicka på Start, skriv mmc och tryck på RETUR på datorn som kör certifikatutfärdaren.
Om dialogrutan Kontroll av användarkonto visas bekräftar du att den åtgärd som visas är den du önskar och klickar på Fortsätt.
På Arkiv-menyn klickar du på Lägg till/ta bort snapin, klickar på Certifikat och sedan på Lägg till.
Klicka på Datorkonto och Nästa.
Klicka på Slutför och OK.
Klicka på Certifikat (lokal dator) i konsolträdet och sedan på Personlig.
Bekräfta att ett CA-certifikat som inte har upphört finns i det här arkivet.
Högerklicka på det här certifikatet och markera Exportera för att starta guiden Exportera certifikat.
Exportera certifikatet till en fil men namnet Cert.cer.
Skriv Start, cmd och tryck på RETUR.
Skriv certutil -urlfetch -verify <cert.cer> och tryck på RETUR.
Om inga fel rapporteras för validering, skapande av kedja eller återkallningskontroll är kedjan giltig.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.58_Error" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">58</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="Integer">EventLevel</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="Integer">1</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDa56c8730d300410882edc1f355f85f5d"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>