CA sertifikası için zincirde olan bir sertifikanın süresi bitti.
Zincir veya yol doğrulama, sertifika zincirinin güvenilen, otomatik olarak imzalanan bir sertifikada sonlandırılmasına kadar, son varlık (kullanıcı veya bilgisayar) sertifikalarının ve tüm sertifika yetkilisi (CA) sertifikalarının hiyerarşik olarak işlenmesi için kullanılan işlemdir. Genellikle bu bir kök CA sertifikasıdır. CA sertifikasına ilişkin kullanılabilirlik, geçerlilik ve zincir doğrulama sorunları varsa, Active Directory Sertifika Hizmetleri'nin (AD CS) başlatılması başarısız olabilir.
Süresi biten CA sertifikası için zincirdeki sertifikaları yeniden verin
Süresi biten sertifika yetkilisi (CA) sertifikası, olay günlüğünde tanımlanır. Bu sorunu gidermek için:
Sertifikanın süresinin bitip bitmediğini denetleyin.
Sertifika zincirini onaylayın.
Sorun devam ederse, bulunan hataları düzeltmek ve sonra süresi biten sertifikaları yeniden vermek ve yeniden yüklemek için CryptoAPI 2.0 Tanılama'yı etkinleştirin.
Bu yordamları gerçekleştirmek için CA'yı Yönet izinlerine sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.
CA sertifikası süre bitimini denetleyin
Belirli bir CA sertifikasının süresinin bitip bitmediğini denetlemek için:
CA'yı barındıran bilgisayarda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Sertifika Yetkilisi'ne tıklayın.
CA düğümüne sağ tıklayın ve Özellikler'e tıklayın.
Süresi biten sertifikalar, CA sertifikaları listesinde (süresi bitti) sözcüğüyle listelenir. Tüm CA sertifikalarının süresinin bitmiş olması durumunda, CA sertifikasını yenilemeniz ve süresi biten CA sertifikası altındaki tüm sertifikaları yeniden vermeniz gerekir.
CA sertifikasını yenilemek için, CA düğümüne sağ tıklayın, Tüm Görevler'in üzerinde gidin ve CA Sertifikasını Yenile'ye tıklayın.
CA sertifikası yenilendikten sonra, CA'yı yeniden başlatın.
Listede süresi bitmemiş sertifikalar varsa, CA Sürümü numarası, hata iletisindeki anahtar kimliğiyle eşleşen sertifikayı bulun. Örneğin anahtar kimliği 2 ise, CA Sürümü 2.1 veya 2.2 olan sertifika doğru sertifika olacaktır.
Bu sertifikanın süresi dolmamışsa, sertifika zincirinde sorun olup olmadığını denetleyin. Sertifikayı dosyaya dışarı aktarın ve ardından komut istemi penceresi açın, certutil -urlfetch -verify<CAcert.cer> yazın ve ENTER tuşuna basın. (CAcert.cer ifadesini, sertifika dosyasının adıyla değiştirin.)
CryptoAPI 2.0 Tanılama'yı etkinleştirin
CryptoAPI 2.0 Tanılama'yı etkinleştirmek için:
CA'yı barındıran bilgisayarda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Olay Görüntüleyicisi'ne tıklayın.
Konsol ağacında, Olay Görüntüleyicisi'ni, Uygulama ve Hizmet Günlükleri'ni, Microsoft'u, Windows'u ve CAPI2'yi genişletin.
İşlemsel'e sağ tıklayın ve Günlüğü Etkinleştir'e tıklayın.
Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Hizmetler'e tıklayın.
Active Directory Sertifika Hizmetleri'ne sağ tıklayın ve Yeniden Başlat'a tıklayın.
Sertifika yetkilisi (CA) sertifikasının ve zincirin geçerli olduğunu onaylamak için:
CA'yı barındıran bilgisayar üzerinde, Başlat'a tıklayın, mmc yazın ve sonra ENTER tuşuna basın.
Kullanıcı Hesabı Denetimi iletişim kutusu görüntülenirse, kutuda görüntülenen eylemin istediğiniz eylem olduğunu doğrulayın ve ardından Devam'a tıklayın.
Dosya menüsünde, Ek Bileşen Ekle/Kaldır'a tıklayın, Sertifikalar'a tıklayın ve sonra Ekle'ye tıklayın.
Bilgisayar hesabı öğesine ve İleri'ye tıklayın.
Son'a ve sonra Tamam'a tıklayın.
Konsol ağacında, Sertifikalar'a (Yerel Bilgisayar) ve sonra Kişisel'e tıklayın.
Bu depoda süresi bitmemiş bir CA sertifikasının var olduğunu onaylayın.
Bu sertifikaya sağ tıklayın ve Sertifika Dışa Aktarma Sihirbazı'nı başlatmak için Dışa Aktar öğesini seçin.
Sertifikayı, Cert.cer adlı bir dosya olarak dışa aktarın.
Start yazın, cmd yazın ve ENTER tuşuna basın.
certutil -urlfetch -verify <cert.cer> yazın ve ENTER tuşuna basın.
Herhangi bir doğrulama, zincir oluşturma veya iptal denetimi hatası bildirilmezse, zincir geçerlidir.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.58_Error" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">58</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="Integer">EventLevel</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="Integer">1</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDa56c8730d300410882edc1f355f85f5d"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>