Er is een certificaat in de keten voor het CA-certificaat verlopen.
Bij de validatie van de keten of het pad worden de eindentiteitcertificaten (gebruiker of computer) en alle certificaten van de certificeringsinstantie (CA) hiërarchisch verwerkt totdat de certificaatketen wordt beëindigd bij een vertrouwd, zelfondertekend certificaat. Standaard is dit een basis-CA-certificaat. Active Directory Certificate Services (AD CS) kan mogelijk niet worden gestart als er problemen zijn met de beschikbaarheid, de geldigheid en de validatie van de keten van het CA-certificaat.
Certificaten in de keten opnieuw verlenen voor een verlopen CA-certificaat
Het certificaat van de certificeringsinstantie (CA) dat is verlopen, wordt in het gebeurtenislogboek vermeld. Dit probleem oplossen:
Controleer of het certificaat is verlopen.
Controleer de certificaatketen.
Als het probleem blijft bestaan, schakelt u CryptoAPI 2.0 Diagnostics in, lost u aanwezige problemen op en verleent en installeert u de verlopen certificaten opnieuw.
U moet de machtiging CA beheren hebben of aan u moet de juiste bevoegdheid zijn gedelegeerd om deze procedures te kunnen uitvoeren.
Controleren of een CA-certificaat is verlopen
Ga als volgt te werk om te controleren of een CA-certificaat is verlopen:
Klik op de computer die als host van de CA optreedt, op Start, wijs Systeembeheer aan en klik op Certificeringsinstantie.
Klik met de rechtermuisknop op het CA-knooppunt en klik op Eigenschappen.
Verlopen certificaten worden in de lijst met CA-certificaten aangegeven met het woord (verlopen). Als alle CA-certificaten zijn verlopen, moet u niet alleen het CA-certificaat vernieuwen, maar ook alle certificaten onder het verlopen CA-certificaat.
Als u het CA-certificaat moet vernieuwen, klikt u op het CA-knooppunt, wijst u Alle taken aan en klikt u op CA-certificaat vernieuwen.
Nadat het CA-certificaat is vernieuwd, start u de CA opnieuw.
Als er certificaten in de lijst voorkomen die niet zijn verlopen, zoekt u het certificaat op waarvan het CA-versienummer overeenkomt met de sleutel-id in het foutbericht. Als de sleutel-id bijvoorbeeld 2 is, is het certificaat met CA-versie 2.1 of 2.2 het juiste certificaat.
Controleer op problemen met de certificaatketen als dit certificaat niet is verlopen. Exporteer het certificaat naar een bestand en open vervolgens een venster met een opdrachtregel, typ certutil -urlfetch -verify<CAcert.cer> en druk op ENTER. (Vervang CAcert.cer door de naam van het certificaatbestand.)
CryptoAPI 2.0 Diagnostics inschakelen
U schakelt CryptoAPI 2.0 Diagnostics als volgt in:
Klik op de computer die als host van de CA optreedt op Start, wijs Systeembeheer aan en klik op Logboeken.
Vouw in de consolestructuur achtereenvolgens Logboeken, Logboeken Toepassingen en Services, Microsoft, Windows en CAP12 uit.
Klik met de rechtermuisknop op Operationeel en klik op Logboek inschakelen.
Klik op Start, wijs Systeembeheer aan en klik op Services.
Klik met de rechtermuisknop op Active Directory Certificate Services en klik op Opnieuw starten.
Controleer als volgt of het certificaat en de keten van de certificeringsinstantie (CA) geldig zijn:
Klik op de computer die als host van de CA optreedt, op Start, typ mmc en druk op ENTER.
Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, controleert u of de gewenste actie wordt weergegeven en klikt u op Doorgaan.
Klik in het menu Bestand op Module toevoegen/verwijderen, klik op Certificaten en klik vervolgens op Toevoegen.
Klik op Computeraccount en klik op Volgende.
Klik op Voltooien en klik vervolgens op OK.
Klik in de consolestructuur op Certificaten (lokale computer) en klik vervolgens op Persoonlijk.
Controleer of er in dit archief een CA-certificaat voorkomt dat niet is verlopen.
Klik met de rechtermuisknop op dit certificaat en selecteer Exporteren om de wizard Certificaat exporteren te starten.
Exporteer het certificaat naar een bestand met de naam Cert.cer.
Typ Start, cmd en druk op ENTER.
Typ certutil -urlfetch -verify <cert.cer> en druk op ENTER.
Als er geen fouten met betrekking tot de validatie, het maken van ketens of de intrekkingscontrole worden gerapporteerd, is de keten geldig.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.58_Error" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">58</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="Integer">EventLevel</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="Integer">1</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDa56c8730d300410882edc1f355f85f5d"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>