A hitelesítésszolgáltatói tanúsítvány láncában egy tanúsítvány lejárt.
A lánc- vagy útvonalérvényesítés az a folyamat, amely során a végfelhasználó (felhasználó vagy számítógép) tanúsítványait és az összes hitelesítésszolgáltatói tanúsítványt hierarchikusan feldolgozza a rendszer a tanúsítványlánc végén található megbízható, önaláírt tanúsítványig. Ez általában egy legfelső szintű hitelesítésszolgáltatói tanúsítvány. Az Active Directory Tanúsítványszolgáltatás (AD CS) indítása sikertelen lehet, ha problémák vannak a hitelesítésszolgáltatói tanúsítvány rendelkezésre állásával, érvényességével vagy láncérvényesítésével.
Tanúsítványok újbóli kiállítása a lejárt hitelesítésszolgáltatói tanúsítvány láncában
A lejárt hitelesítésszolgáltatói tanúsítvány az eseménynaplóban lesz azonosítva. A probléma megoldása:
Ellenőrizze, hogy a tanúsítvány lejárt-e.
Erősítse meg a tanúsítványláncot.
Ha a probléma továbbra is fennáll, engedélyezze a CryptoAPI 2.0 diagnosztikai eszközt, oldjon meg minden észlelt hibát, majd állítsa ki újra és telepítse újra a lejárt tanúsítványokat.
A műveleteket akkor hajthatja végre, ha rendelkezik hitelesítésszolgáltató-kezelési engedéllyel, vagy delegálás útján megkapta a megfelelő jogosultságokat.
Hitelesítésszolgáltatói tanúsítvány lejáratának ellenőrzése
Annak ellenőrzése, hogy egy adott hitelesítésszolgáltatói tanúsítvány lejárt-e:
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, mutasson a Felügyeleti eszközök elemre, és kattintson a Hitelesítésszolgáltató lehetőségre.
Kattintson a jobb gombbal a hitelesítésszolgáltató csomópontra, és kattintson a Tulajdonságok lehetőségre.
A lejárt tanúsítványok a (lejárt) szóval vannak felsorolva a hitelesítésszolgáltatói tanúsítványok listáján. Ha az összes hitelesítésszolgáltatói tanúsítvány lejárt, meg kell újítania a hitelesítésszolgáltatói tanúsítványt, és újra ki kell adnia a lejárt hitelesítésszolgáltatói tanúsítvány alatti tanúsítványokat.
A hitelesítésszolgáltatói tanúsítvány megújításához kattintson a jobb gombbal a hitelesítésszolgáltatói tanúsítvány csomópontra, mutasson a Minden feladat lehetőségre, és kattintson a Hitelesítésszolgáltatói tanúsítvány megújítása parancsra.
Miután a hitelesítésszolgáltatói tanúsítvány meg lett újítva, indítsa újra a hitelesítésszolgáltatót.
Ha le nem járt tanúsítványok vannak a listában, keresse meg a tanúsítványt, amelynek a hitelesítésszolgáltatói verziószáma megegyezik a hibaüzenetben található kulcsazonosítóval. Például, ha 2-es kulcsazonosítóval rendelkezik, a 2.1-es vagy 2.2-es hitelesítésszolgáltatói verziószámmal rendelkező tanúsítvány a helyes.
Ha ez a tanúsítvány nem járt le, ellenőrizze, hogy a tanúsítványlánccal kapcsolatosan tapasztalhatók-e problémák. Exportálja a tanúsítványt egy fájlba, majd nyisson meg egy parancsablakot, írja be a certutil -urlfetch -verify<CA-tanúsítvány.cer>parancsot, majd nyomja le az ENTER billentyűt. (Cserélje le a CAcert.cer fájlnevet a tanúsítványfájl nevére.)
A CryptoAPI 2.0 diagnosztikai eszköz engedélyezése
A CryptoAPI 2.0 diagnosztikai eszköz engedélyezéséhez tegye a következőket:
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, mutasson a Felügyeleti eszközök elemre, és kattintson az Eseménynapló lehetőségre.
A konzolfában bontsa ki az Eseménynapló, az Alkalmazások és szolgáltatásnaplók, a Microsoft, a Windows és a CAPI2 csomópontot.
Kattintson a jobb gombbal a Működési elemre, majd kattintson a Naplózás engedélyezése parancsra.
Kattintson a Start menü Felügyeleti eszközök pontjára, majd kattintson a Szolgáltatások lehetőségre.
Kattintson a jobb gombbal az Active Directory Tanúsítványszolgáltatás elemre, majd kattintson az Újraindítás lehetőségre.
A hitelesítésszolgáltatói tanúsítvány és lánc érvényességének megerősítése:
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, írja be az mmc parancsot, majd nyomja le az ENTER billentyűt.
Ha megjelenik a Felhasználói fiókok felügyelete párbeszédpanel, erősítse meg, hogy valóban az abban megjelenített műveletet szeretné végrehajtani, majd kattintson a Folytatás gombra.
Kattintson a Fájl menü Beépülő modul hozzáadása/eltávolítása parancsára, kattintson a Tanúsítványok elemre, majd a Hozzáadás gombra.
Kattintson a Számítógépfiók elemre, majd kattintson a Tovább gombra.
Kattintson a Befejezés gombra, majd az OK gombra.
A konzolfán kattintson a Tanúsítványok (helyi számítógép) elemre, majd kattintson a Személyes gombra.
Ellenőrizze meg, hogy a tárolóban található hitelesítésszolgáltatói tanúsítvány nem járt-e le.
Kattintson a jobb gombbal a tanúsítványra, és válassza az Exportálás lehetőséget a Tanúsítványexportáló varázsló indításához.
Exportálja a tanúsítványt egy Cert.cer nevű fájlba.
Írja be a Start szót, írja be a cmd parancsot, majd nyomja le az ENTER billentyűt.
Írja be a certutil -urlfetch -verify <tanúsítvány.cer> parancsot, majd nyomja le az ENTER billentyűt.
Ha a rendszer nem jelent érvényesítési, lánckészítési vagy visszavonás-ellenőrzési hibát, a lánc érvényes.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.58_Error" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">58</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="Integer">EventLevel</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="Integer">1</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDa56c8730d300410882edc1f355f85f5d"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>