Egy tanúsítványkérést elutasított a rendszer.
A hitelesítésszolgáltatók egyik fő feladata az ügyfelektől érkező tanúsítványkérelmek értékelése, és ha azok megfelelnek az előre meghatározott feltételeknek, a tanúsítványok kiállítása az ügyfeleknek. A tanúsítványigénylés sikerességéhez számos elemnek jelen kell lennie a kérés elküldése előtt, beleértve az érvényes hitelesítésszolgáltatói tanúsítvánnyal rendelkező hitelesítésszolgáltatót; a megfelelően konfigurált tanúsítványsablonokat, ügyfélfiókokat és tanúsítványkérelmeket; és módot a kérés az ügyfél által a hitelesítésszolgáltatónak történő elküldésére, érvényesítésére és a kiállított tanúsítvány telepítésére.
A tanúsítványkérelmek jóváhagyását megakadályozó feltételek eltávolítása
A lánckészítési problémák a tanúsítványkérelmek sikertelenségének gyakori okai. A következő eljárással érvényesítse a hitelesítésszolgáltató tanúsítványláncát, és javítson ki minden azonosított problémát:
Ellenőrizze a felhasználói fiók adatait az Active Directory tartományi szolgáltatásokban.
Ellenőrizze a tanúsítványsablon adatait.
Ellenőrizze a hitelesítésszolgáltató tanúsítványláncát.
Kattintson a legújabb visszavont tanúsítványok listájára.
Tegye közzé a visszavont tanúsítványok új listáját.
Ha ez nem oldja meg a problémát, ellenőrizze és oldja meg a hibákat a következő területeken:
A hitelesítésszolgáltató sikertelen kéréseinek várólistája
AD DS-kapcsolat
Lehetséges, hogy a tanúsítványkérelem végrehajtásához szükséges aláírások nem érhetők el. Ebben az esetben:
Engedélyezze további regisztrációszolgáltatói tanúsítványokkal rendelkező felhasználóknak a tanúsítványkérelmek aláírását.
Módosítsa a tanúsítványsablont, hogy kevesebb regisztrációszolgáltatói aláírást igényeljen.
Ismét küldje el a tanúsítványkérelmet.
Felhasználói fiók adatainak ellenőrzése az AD DS-ben
A műveletet akkor hajthatja végre, ha a Tartományi rendszergazdák csoport tagja, vagy delegálás útján megkapta a megfelelő jogosultságokat.
Felhasználói fiók adatainak ellenőrzése:
A tartományvezérlőn kattintson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory – felhasználók és számítógépek parancsra.
A konzolfán válassza ki a tartományt és a felhasználói csoportot, amelyben a felhasználó fióknak lennie kell.
Ha a felhasználói fiók létezik, kattintson a jobb gombbal a fiókra, kattintson a Tulajdonságok lehetőségre, és ellenőrizze, hogy a felhasználó rendelkezik-e megfelelően konfigurált DNS-névvel.
Tanúsítványsablon adatainak ellenőrzése
Az eljárást akkor hajthatja végre, ha rendelkezik hitelesítésszolgáltató-kezelési engedéllyel, vagy delegálás útján megkapta a megfelelő jogosultságokat.
A tanúsítványsablon adatainak ellenőrzéséhez hajtsa végre a következő műveleteket:
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, írja be a certtmpl.msc parancsot, majd nyomja le az ENTER billentyűt.
Kattintson a jobb gombbal arra a tanúsítványsablonra, amelyen hibaelhárítást végez, és ellenőrizze, hogy a felhasználó vagy csoport rendelkezik-e engedélyekkel sablonon alapuló tanúsítvány igényléséhez.
A hitelesítésszolgáltató tanúsítványláncának ellenőrzése
A hitelesítésszolgáltató tanúsítványláncának ellenőrzése:
Kattintson a Start gombra, írja be az mmc parancsot, majd nyomja le az ENTER billentyűt.
Ha megjelenik a Felhasználói fiókok felügyelete párbeszédpanel, erősítse meg, hogy valóban az abban megjelenített műveletet szeretné végrehajtani, majd kattintson a Folytatás gombra.
Kattintson a Fájl menü Beépülő modul hozzáadása/eltávolítása parancsára, kattintson a Tanúsítványok elemre, majd a Hozzáadás gombra.
Kattintson a Számítógépfiók elemre, majd kattintson a Tovább gombra.
Jelölje ki a hitelesítésszolgáltatót üzemeltető számítógépet, kattintson a Befejezés gombra, majd kattintson az OK gombra.
Válassza ki a tanúsítványláncban található hitelesítésszolgáltatói tanúsítványokat, majd kattintson a Tanúsítvány megtekintése gombra.
A Tanúsítványexportáló varázsló indításához kattintson a Részletek lapra, majd a Másolás fájlba gombra. Mentse a tanúsítványokat .cer kiterjesztéssel.
Nyisson meg egy parancssori ablakot, és minden hitelesítésszolgáltatói tanúsítvány esetében futtassa a következő parancsot: certutil -urlfetch -verify <CA-tanúsítvány.cer>. A <CA-tanúsítvány.cer> helyőrző a 7. lépésben mentett hitelesítésszolgáltatói tanúsítvány nevét jelöli.
Használja ugyanazt a parancsot a végfelhasználói (felhasználó vagy számítógép) tanúsítvány tanúsítványfájllal, amelyet a hitelesítésszolgáltató adott ki, hogy megerősítse a visszavont tanúsítványok listáját magának a hitelesítésszolgáltatónak és láncának.
Hárítson el minden hibát, amelyet a parancssor kimenete jelez.
Új CRL-ek létrehozása és közzététele
Ha a parancssori kimenet azt jelzi, hogy egy hitelesítésszolgáltató visszavont tanúsítványainak listája lejárt, hozzon létre új kiindulási és különbözeti CRL-eket ezen a hitelesítésszolgáltatón, és másolja őket a szükséges helyekre. Előfordulhat, hogy ehhez újra kell indítania egy offline állapotú hitelesítésszolgáltatót.
A hitelesítésszolgáltatón ellenőrizze a visszavont tanúsítványok aktuálisan közzétett listáját. Alapértelmezés szerint a hitelesítésszolgáltató a visszavont tanúsítványok listáját a %windir%\System32\CertSrv\CertEnroll mappában hozza létre. Ha a jelenleg az ezen a helyen található visszavont tanúsítványok listái lejártak vagy érvénytelenek, a következő eljárással teheti közzé a visszavont tanúsítványok új listáját.
Új CRL lista közzététele a Hitelesítésszolgáltató beépülő modullal:
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, mutasson a Felügyeleti eszközök elemre, és kattintson a Hitelesítésszolgáltató lehetőségre.
Válassza ki a hitelesítésszolgáltatót, és bontsa ki a mappákat a neve alatt.
Kattintson a jobb gombbal a Visszavont tanúsítványok mappára.
Kattintson a Minden feladat menüpontra, majd a Közzététel gombra.
A visszavont tanúsítványok listáját egy parancssorból is létrehozhatja és közzéteheti.
Visszavont tanúsítványok listájának közzététele a Certutil parancssori eszközzel:
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, írja be a cmd parancsot, majd nyomja le az ENTER billentyűt.
Írja be a certutil -CRL parancsot, és nyomja le az ENTER billentyűt.
Ha egy CRL listát nem elérhetőként azonosít a rendszer, azonban található egy érvényes CRL lista a hitelesítésszolgáltató helyi könyvtárában, ellenőrizze, hogy a hitelesítésszolgáltató tud-e csatlakozni a CRL lista terjesztési pontjához, majd az előbbiekben ismertetett lépésekkel ismét hozza létre és tegye közzé a visszavont tanúsítványok listáját.
A visszavont tanúsítványok listája az Active Directory tartományi szolgáltatásokban manuálisan is közzétehető a következő paranccsal:
certutil -dspublish"<crlnév.crl>" ldap:///CN=<CA-név>,CN=<CA-gazdagép neve>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint
A <crlname.crl> a CRL-fájl nevét, a <CA-név> a hitelesítésszolgáltató nevét, a <CA-gazdagép neve> a hitelesítésszolgáltatót futtató gazdagép nevét, a <contoso> és a <com> helyőrző pedig az Ön Active Directory-tartományának névterét jelöli.
A CRL-ek konfigurált terjesztési pontjainak ellenőrzése
Ellenőrizze a CRL-ek összes konfigurált terjesztési pontját annak meghatározásához, hogy a közzététel sikeres volt-e, és hogy az új CRL-ek elérhetők-e a hálózaton.
Az eljárást akkor hajthatja végre, ha rendelkezik hitelesítésszolgáltató-kezelési engedéllyel, vagy delegálás útján megkapta a megfelelő jogosultságokat.
A CRL listák konfigurált terjesztési pontjainak ellenőrzése a Hitelesítésszolgáltató beépülő modul segítségével:
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, mutasson a Felügyeleti eszközök elemre, és kattintson a Hitelesítésszolgáltató lehetőségre.
Kattintson a jobb gombbal a hitelesítésszolgáltató nevére, majd kattintson a Tulajdonságok lehetőségre.
Kattintson a Bővítmények fülre.
Tekintse át a konfigurált visszavont tanúsítványok listájának terjesztésipont-helyeit, és ellenőrizze, hogy a nevek érvényesek-e.
A CRL listák konfigurált terjesztési pontjaihoz tartozó URL-címek ellenőrzése a Certutil segédprogram segítségével:
Nyisson meg egy parancsablakot a hitelesítésszolgáltatón.
Írja be a certutil -getreg ca\crlpublicationurls parancsot, és nyomja le az ENTER billentyűt.
Tekintse át a konfigurált visszavont tanúsítványok listájának terjesztésipont-helyeit, és ellenőrizze, hogy a nevek érvényesek-e.
A sikertelen kérelmek várólistájának ellenőrzése a hitelesítésszolgáltatón
Az eljárást akkor hajthatja végre, ha rendelkezik hitelesítésszolgáltató-kezelési engedéllyel, vagy delegálás útján megkapta a megfelelő jogosultságokat.
A sikertelen kérések várólistájának ellenőrzése a hitelesítésszolgáltatóban a Hitelesítésszolgáltató beépülő modul segítségével:
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, mutasson a Felügyeleti eszközök elemre, és kattintson a Hitelesítésszolgáltató lehetőségre.
Kattintson a Sikertelen kérelmek lehetőségre.
Olyan sikertelen kéréseket keressen, amelyek az esemény idején vagy közvetlenül előtte, illetve utána lettek elküldve, és ellenőrizze az oszlopokat, például a Kérelem elutasítási üzenete, Kérelem állapotkódja és a Kérelmező neve oszlopot további diagnosztikai információkért.
Sikertelen kérések ellenőrzése a Certutil segítségével:
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, írja be a cmd parancsot, majd nyomja le az ENTER billentyűt.
Írja be a certutil -view LogFail parancsot, és nyomja le az ENTER billentyűt.
Írja be a certutil -view -restrict requestID="<nnn>" parancsot, majd nyomja le az ENTER billentyűt. Cserélje le a(z) nnn elemet a LogFail parancs kimenetében lévő meghiúsult kérések egyikének kérésazonosítójára.
AD DS-kapcsolat ellenőrzése
Az Active Directory Tanúsítványszolgáltatás (AD CS) és az AD DS közötti kapcsolat ellenőrzése:
Nyisson meg egy parancsablakot a hitelesítésszolgáltatón.
Írja be a ping <kiszolgáló_FQDN_neve> parancsot, amelyben a <kiszolgáló_FQDN_neve> a tartományvezérlő teljes tartományneve (például kiszolgáló1.contoso.com), majd nyomja le az ENTER billentyűt.
Ha a pingelés sikeres volt, a következőhöz hasonló választ kap:
Válasz IP_cím: bájt=32 idő=3 ezredmp. TTL=59
Válasz IP_cím: bájt=32 idő=20 ezredmp. TTL=59
Válasz IP_cím: bájt=32 idő=3 ezredmp. TTL=59
Válasz IP_cím: bájt=32 idő=6 ezredmp. TTL=59 3
Írja be a parancssorba a ping <IP-cím> parancsot, amelyben az <IP-cím> a tartományvezérlő IP-címe, majd nyomja le az ENTER billentyűt.
Ha sikerül csatlakoznia a tartományvezérlőhöz az IP-cím használatával, a teljes tartománynév használatával azonban nem, az utalhat a DNS-gazdanév feloldásának problémájára. Ha nem sikerül csatlakoznia a tartományvezérlőhöz az IP-cím használatával, az a hálózati kapcsolat, a tűzfal-konfiguráció vagy az IPsec-konfiguráció hibájára utalhat.
További regisztrációszolgáltatói tanúsítványok kiállítása
A műveletet akkor hajthatja végre, ha a helyi Rendszergazdák csoport tagja a hitelesítésszolgáltatót üzemeltető számítógépen, vagy delegálás útján megkapta a megfelelő jogosultságokat.
További regisztrációszolgáltatói tanúsítványok kiállításához hajtsa végre a következő műveleteket:
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start menüre, írja be a certtmpl.msc parancsot, majd nyomja le az ENTER billentyűt.
A részleteket tartalmazó panelen kattintson a jobb gombbal a regisztrációszolgáltatói tanúsítványsablonra, majd kattintson a Tulajdonságok lehetőségre.
A Biztonság fülön adja hozzá azoknak a felhasználóknak vagy csoportoknak a nevét, akiknek regisztrációszolgáltatói tanúsítványokat kíván kiállítani.
A Csoport vagy felhasználó neve területen kattintson az egyik új objektumra, majd a forObjectName engedélyei területen az Engedélyezés oszlopban jelölje be az Olvasás és az Igénylés jelölőnégyzetet.
Ismételje meg az előző lépést minden új objektumon, majd kattintson az OK gombra.
Kattintson a Start menü Felügyeleti eszközök pontjára, majd kattintson a Hitelesítésszolgáltató parancsra.
Kattintson duplán a hitelesítésszolgáltató nevére.
Kattintson a jobb gombbal a Tanúsítványsablonok tárolóra, kattintson az Új menüpontra, majd a Kiállítandó tanúsítványsablon parancsra.
Válassza ki a tanúsítványsablont, majd kattintson az OK gombra.
Tanúsítványsablonok aláírási követelményeinek módosítása
Az eljárást akkor hajthatja végre, ha rendelkezik hitelesítésszolgáltató-kezelési engedéllyel, vagy delegálás útján megkapta a megfelelő jogosultságokat.
Tanúsítványsablonok aláírási követelményeinek módosítása:
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, írja be a certtmpl.msc parancsot, majd nyomja le az ENTER billentyűt.
A részleteket tartalmazó ablaktáblán kattintson a jobb gombbal a módosítani kívánt tanúsítványsablonra, majd kattintson a Tulajdonságok parancsra.
Kattintson a Kiállítási követelmények fülre.
Az Ennyi hiteles aláírás mező alatt adja meg a használni kívánt regisztrációszolgáltatói aláírások számát.
Ismételje meg az előző lépést minden új objektumon, majd kattintson az OK gombra.
Kattintson a Start menü Felügyeleti eszközök pontjára, majd kattintson a Hitelesítésszolgáltató parancsra.
Kattintson duplán a hitelesítésszolgáltató nevére.
Kattintson a jobb gombbal a Tanúsítványsablonok tárolóra, kattintson az Új menüpontra, majd a Kiállítandó tanúsítványsablon parancsra.
Válassza ki a tanúsítványsablont, majd kattintson az OK gombra.
A tanúsítványkérelem-feldolgozás megfelelő működésének ellenőrzése:
Kattintson a Start gombra, írja be a certmgr.msc parancsot, majd nyomja le az ENTER billentyűt.
Ha megjelenik a Felhasználói fiókok felügyelete párbeszédpanel, erősítse meg, hogy valóban az abban megjelenített műveletet szeretné végrehajtani, majd kattintson a Folytatás gombra.
A konzolfán kattintson duplán a Személyes elemre, majd kattintson a Tanúsítványok elemre.
A Tanúsítvány igénylése varázsló elindításához a Művelet menüben mutasson a Minden feladat menüpontra, majd kattintson az Új tanúsítvány kérése lehetőségre.
A varázsló segítségével hozzon létre és küldjön el egy tanúsítványkérést bármilyen típusú elérhető tanúsítványra vonatkozóan.
A Tanúsítványtelepítési eredmények részben ellenőrizze, hogy az igénylés sikeresen befejeződik-e és nincs-e jelentett hiba. A tanúsítvánnyal kapcsolatos további információkat a Részletek gombra kattintva is megtekintheti.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 7 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.7" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">7</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>