Un certificato della catena per il certificato CA è scaduto.
La convalida della catena o del percorso è il processo mediante il quale vengono elaborati i certificati delle entità finali (utente o computer) e tutti i certificati dell'autorità di certificazione (CA) gerarchicamente fino a quando la catena di certificati termina con un certificato autofirmato attendibile. In genere, si tratta di un certificato della CA radice. L'avvio di Servizi certificati Active Directory (AD CS) potrebbe non riuscire se ci sono problemi di disponibilità, validità e convalida della catena per il certificato CA.
Nuovo rilascio di certificati nella catena per un certificato CA scaduto
Il certificato CA scaduto sarà indicato nel registro eventi. Per risolvere il problema:
Verificare se il certificato è scaduto.
Verificare la catena di certificati.
Se il problema persiste, attivare la diagnostica CryptoAPI 2.0, risolvere gli eventuali errori rilevati, quindi rilasciare nuovamente e reinstallare i certificati scaduti.
Per eseguire queste procedure è necessario disporre dell'autorizzazione Gestione CA oppure avere ricevuto in delega l'autorità appropriata.
Verificare la scadenza del certificato CA
Per verificare se un determinato certificato CA è scaduto:
Sul computer su cui si trova la CA, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Autorità di certificazione.
Fare clic con il pulsante destro del mouse sul nodo della CA, quindi fare clic su Proprietà.
I certificati scaduti verranno elencati con l'indicazione (scaduto) nell'elenco dei certificati CA. Se tutti i certificati CA sono scaduti, sarà necessario rinnovare il certificato CA e rilasciare nuovamente i certificati che si trovano sotto il certificato CA scaduto.
Per rinnovare il certificato CA, fare clic con il pulsante destro del mouse sul nodo della CA, scegliere Tutte le attività, quindi fare clic su Rinnova certificato CA.
Dopo che il certificato CA è stato rinnovato, riavviare la CA.
Se l'elenco contiene certificati non scaduti, individuare il certificato il cui numero di versione CA corrisponde all'ID chiave indicato nel messaggio di errore. Ad esempio, se l'ID chiave è 2, il certificato corretto sarebbe quello con CA versione 2.1 o 2.2.
Se il certificato non è scaduto, controllare eventuali problemi nella catena di certificati. Esportare il certificato in un file, quindi aprire una finestra del prompt dei comandi, digitare certutil -urlfetch -verify<certificatoCA.cer> e premere INVIO. (Sostituire CAcert.cer con il nome del file del certificato CA).
Attivare la diagnostica CryptoAPI 2.0
Per attivare la diagnostica CryptoAPI 2.0:
Sul computer su cui si trova la CA, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic sul Visualizzatore eventi.
Nell'albero della console, espandere Visualizzatore eventi, Registri applicazioni e servizi, Microsoft, Windows e CAPI2.
Fare clic con il pulsante destro del mouse su Operativo, quindi fare clic su Attiva registro.
Fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Servizi.
Fare clic con il pulsante destro del mouse su Servizi certificati Active Directory, quindi fare clic su Riavvia.
Per verificare che il certificato e la catena dell'autorità di certificazione (CA) siano validi:
Sul computer su cui si trova la CA, fare clic sul pulsante Start, digitare mmc e premere INVIO.
Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata, quindi fare clic su Continua.
Nel menu File fare clic su Aggiungi/Rimuovi snap-in, fare clic su Certificati, quindi fare clic su Aggiungi.
Fare clic su Account del computer, quindi fare clic su Avanti.
Fare clic su Fine, quindi fare clic su OK.
Nell'albero della console, fare clic su Certificati (computer locale), quindi fare clic su Personale.
Verificare che in questo archivio sia presente un certificato CA non scaduto.
Fare clic con il pulsante destro del mouse su questo certificato e selezionare Esporta per avviare l'Esportazione guidata certificati.
Esportare il certificato in un file denominato Cert.cer.
Digitare Start, cmd e premere INVIO.
Digitare certutil -urlfetch -verify <cert.cer> e premere INVIO.
Se non vengono segnalati errori di convalida, creazione della catena, o rilevamento revoche, la catena è valida.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.58_Error" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">58</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="Integer">EventLevel</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="Integer">1</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDa56c8730d300410882edc1f355f85f5d"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>