Запрос на сертификат был отклонен.
Одной из основных функций центра сертификации (ЦС) является оценка запросов на сертификаты от клиентов и выдача сертификатов для этих клиентов в случае соответствия запросов предопределенным критериям. Для успешной регистрации сертификата перед отправкой запроса необходимо наличие нескольких элементов. К ним относятся ЦС с действительным сертификатом ЦС, правильно настроенные шаблоны сертификатов, учетные записи клиентов и запросы на сертификаты, а также возможность отправки клиентом запроса в ЦС, проверки запроса и установки выданного сертификата.
Удаление условий, препятствующих утверждению запроса на сертификат
Проблемы построения цепочки — распространенная причина сбоя запросов на сертификат. Выполните следующую процедуру, чтобы проверить цепочку сертификатов для центра сертификации (ЦС), и устраните все обнаруженные проблемы.
Подтвердите сведения учетной записи пользователя в доменных службах Active Directory.
Подтвердите сведения шаблона сертификата.
Подтвердите цепочку сертификатов для ЦС.
Проверьте последние списки отзыва сертификатов.
Опубликуйте новый список отзыва сертификатов.
Если проблему решить не удается, выполните поиск неполадок в указанных далее областях и устраните их.
Очередь невыполненных запросов на сертификат для ЦС.
Подключение доменных служб Active Directory
Подписи, необходимые для выполнения запроса на сертификат, могут быть недоступны. В таком случае выполните следующие действия.
Дайте разрешение дополнительным пользователям, обладающим сертификатами центра регистрации, подписывать запросы на сертификат.
Измените шаблон сертификата таким образом, чтобы он требовал меньше подписей центра регистрации.
Повторно отправьте запрос на сертификат.
Подтверждение сведений учетной записи пользователя в доменных службах Active Directory
Для выполнения данной процедуры необходимо быть членом группы "Администраторы домена" либо являться обладателем соответствующих делегированных полномочий.
Для подтверждения сведений учетной записи пользователя выполните следующие действия.
На контроллере домена нажмите кнопку "Пуск", выберите "Администрирование", затем щелкните "Пользователи и компьютеры Active Directory".
В дереве консоли выберите домен и группу пользователей, в которой должна быть размещена учетная запись пользователя.
Если учетная запись пользователя существует, щелкните ее правой кнопкой мыши, щелкните "Свойства" и убедитесь, что пользователь обладает правильно заданным именем службы доменных имен (DNS).
Подтверждение сведений шаблона сертификата
Для выполнения данной процедуры необходимо иметь разрешение на управление ЦС либо обладать соответствующими делегированными полномочиями.
Чтобы подтвердить сведения шаблона сертификата, выполните следующие действия.
На компьютере, на котором размещен ЦС, нажмите кнопку "Пуск", введите "certtmpl.msc" и нажмите ВВОД.
Правой кнопкой мыши щелкните шаблон сертификата, ошибки которого нужно устранить, и убедитесь в том, что пользователь или группа имеют разрешения на регистрацию сертификата на основе этого шаблона.
Подтверждение цепочки сертификатов для ЦС
Чтобы проверить цепочку для ЦС, выполните следующие действия.
Нажмите кнопку "Пуск", введите "mmc", а затем нажмите клавишу ВВОД.
Если появляется диалоговое окно "Контроль учетных записей пользователей", убедитесь, что вам необходимо именно указанное в нем действие, и нажмите кнопку "Продолжить".
В меню "Файл" щелкните "Добавить или удалить оснастку", щелкните "Сертификаты" и "Добавить".
Щелкните "Учетная запись компьютера", затем нажмите кнопку "Далее".
Выберите компьютер, на котором размещен ЦС, щелкните "Готово" и "OK".
Выберите каждый из сертификатов ЦС в очереди сертификатов и щелкните "Просмотреть сертификат".
Щелкните вкладку "Сведения", а затем щелкните "Копировать в файл", чтобы запустить мастер экспорта сертификатов. Сохраните каждый сертификат с расширением "*.cer".
Откройте командную строку, выполните следующую команду для каждого сертификата ЦС и нажмите клавишу ВВОД: certutil -urlfetch -verify <CAcert.cer>. Замените <CAcert.cer> именем файла сертификата ЦС, сохраненного в шаге 7.
Используйте ту же команду с файлом сертификата для сертификата конечного субъекта (пользователя или компьютера), выданного ЦС, чтобы подтвердить списки отзыва сертификатов как для самого ЦС, так и для цепочки в нем.
Устраните все проблемы, выводимые в командной строке.
Создайте и опубликуйте новые списки отзыва сертификатов
Если данные, выводимые в командной строке, свидетельствуют о том, что срок действия списка отзыва сертификатов для ЦС истек, сформируйте новые базовый и разностный списки отзыва сертификатов в ЦС и скопируйте их в нужные расположения. Для этого может понадобиться перезапустить ЦС вне сети.
В ЦС проверьте текущий опубликованный список отзыва сертификатов. По умолчанию ЦС создает списки отзыва сертификатов в папке %windir%\System32\CertSrv\CertEnroll. Если списки отзыва сертификатов, в данный момент находящиеся в этом расположении, недействительны или срок их действия истек, для публикации нового списка отзыва сертификатов можно использовать следующую процедуру.
Чтобы опубликовать новый список отзыва сертификатов с помощью оснастки "Центр сертификации", выполните следующие действия.
На компьютере, на котором размещен ЦС, нажмите кнопку "Пуск", выберите "Администрирование" и щелкните "Центр сертификации".
Выберите ЦС и разверните папки под именем ЦС.
Правой кнопкой мыши щелкните папку "Отозванные сертификаты".
Щелкните "Все задачи" и "Опубликовать".
Списки отзыва сертификатов можно также формировать и публиковать из командной строки.
Чтобы опубликовать список отзыва сертификатов с помощью программы командной строки Certutil, выполните следующие действия.
На компьютере, на котором размещен ЦС, нажмите кнопку "Пуск", введите "cmd" и нажмите ВВОД.
Введите "certutil -CRL" и нажмите ВВОД.
Если список отзыва сертификатов считается недоступным, а в локальном каталоге ЦС существует действительный список отзыва сертификатов, подтвердите возможность соединения ЦС с точкой распространения списка отзыва сертификатов, а затем выполните предыдущие действия, чтобы снова сформировать и опубликовать списки отзыва сертификатов.
Списки отзыва сертификатов можно публиковать вручную в доменных службах Active Directory с помощью следующей команды:
certutil -dspublish"<crlname.crl>" ldap:///CN=<CA name>,CN=<CA hostname>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint
Замените "crlname.crl" именем файла списка отзыва сертификатов, "имя ЦС" и "имя главного узла ЦС" — именами своего ЦС и узла, на котором он запущен, а "contoso" и "com" — пространством имен домена Active Directory.
Подтверждение настроенных точек распространения CRL
Проверьте все настроенные точки распространения списков отзыва сертификатов, чтобы подтвердить, что публикация была успешной, и в сети доступны новые списки отзыва сертификатов.
Для выполнения данной процедуры необходимо иметь разрешение на управление ЦС либо обладать соответствующими делегированными полномочиями.
Чтобы проверить настроенные точки распространения списков отзыва сертификатов с помощью оснастки "Центр сертификации", выполните следующие действия.
На компьютере, на котором размещен ЦС, нажмите кнопку "Пуск", выберите "Администрирование" и щелкните "Центр сертификации".
Правой кнопкой мыши щелкните имя ЦС, затем щелкните "Свойства".
Щелкните вкладку "Расширения".
Просмотрите настроенные точки распространения списков отзыва сертификатов и подтвердите действительность имен.
Чтобы проверить URL-адреса настроенных точек распространения списков отзыва сертификатов с помощью Certutil, выполните следующие действия.
Откройте окно командной строки в ЦС.
Введите "certutil -getreg ca\crlpublicationurls" и нажмите ВВОД.
Просмотрите настроенные точки распространения списков отзывов сертификатов и подтвердите действительность имен.
Проверка очереди невыполненных запросов в ЦС
Для выполнения данной процедуры необходимо иметь разрешение на управление ЦС либо обладать соответствующими делегированными полномочиями.
Чтобы проверить очередь невыполненных запросов в ЦС с помощью оснастки "Центр Сертификации", выполните следующие действия.
На компьютере, на котором размещен ЦС, нажмите кнопку "Пуск", выберите "Администрирование" и щелкните "Центр сертификации".
Щелкните "Невыполненные запросы".
Найдите невыполненные запросы, время отправки которых точно или приблизительно совпадает со временем события, и проверьте дополнительные сведения диагностики в таких столбцах, как "Сообщение обработки запроса", "Код состояния запроса" и "Имя инициатора запроса".
Чтобы проверить невыполненные запросы с помощью Certutil, выполните следующие действия.
На компьютере, на котором размещен ЦС, нажмите кнопку "Пуск", введите "cmd" и нажмите клавишу ВВОД.
Введите "certutil -view LogFail" и нажмите ВВОД.
Введите certutil -view -restrict requestID="<nnn>" и нажмите клавишу ВВОД. Замените "nnn" идентификатором запроса одного из невыполненных запросов в выходных данных команды "LogFail".
Подтверждение подключения доменных служб Active Directory
Чтобы подтвердить подключение служб сертификации Active Directory к доменным службам Active Directory, выполните следующие действия.
Откройте окно командной строки в ЦС.
Введите ping <server_FQDN>, где server_FQDN — полное доменное имя контроллера домена (например, server1.contoso.com), и нажмите клавишу ВВОД.
При успешном выполнении команды Ping вы получите ответ, похожий на следующий:
Ответ от IP_адрес: число байт=32 время=3мс TTL=59
Ответ от IP_адрес: число байт=32 время=20мс TTL=59
Ответ от IP_адрес: число байт=32 время=3мс TTL=59
Ответ от IP_адрес: число байт=32 время=6мс TTL=59 3
В командной строке введите "ping IP_address", где IP_address - это IP-адрес контроллера домена, и нажмите клавишу ВВОД.
Если подключение к контроллеру домена удается осуществить только с помощью IP-адреса, но не с помощью полного доменного имени, это свидетельствует о возможных сбоях разрешения имени узла службы доменных имен (DNS). Если не удается осуществить подключение к контроллеру домена по IP-адресу, это свидетельствует о возможных неполадках сетевого подключения, конфигурации брандмауэра или IPsec.
Выдача дополнительных сертификатов центра регистрации
Чтобы выполнить эту процедуру, необходимо быть членом локальной группы "Администраторы" на компьютере, на котором размещен ЦС, либо обладать соответствующими делегированными полномочиями.
Чтобы выдать дополнительные сертификаты центра регистрации, выполните следующие действия.
На компьютере, на котором размещен ЦС, нажмите кнопку "Пуск", введите "certtmpl.msc" и нажмите ВВОД.
В области сведений правой кнопкой мыши щелкните шаблон сертификата центра регистрации, затем щелкните "Свойства".
На вкладке "Безопасность" добавьте имена пользователей или групп, для которых необходимо выдать сертификаты центра регистрации.
В окне имен групп или пользователей щелкните один из новых объектов, затем установите флажки на пунктах "Чтение" и "Регистрация" в столбце "Разрешить" раздела "Разрешения для имя_объекта".
Повторите предыдущее действие для каждого из новых объектов и щелкните "OK".
Нажмите кнопку "Пуск", выберите "Администрирование", затем щелкните "Центр сертификации".
Дважды щелкните имя ЦС.
Правой кнопкой мыши щелкните контейнер "Шаблоны сертификатов", "Создать", а затем — "Шаблон сертификата для выдачи".
Выберите шаблон сертификата и нажмите кнопку "OK".
Изменение требований к подписи в шаблоне сертификата
Для выполнения данной процедуры необходимо иметь разрешение на управление ЦС либо обладать соответствующими делегированными полномочиями.
Чтобы изменить требования к подписи в шаблоне сертификата, выполните следующие действия.
На компьютере, на котором размещен ЦС, нажмите кнопку "Пуск", введите "certtmpl.msc" и нажмите ВВОД.
В области сведений правой кнопкой мыши щелкните шаблон, который необходимо изменить, затем щелкните "Свойства".
Щелкните вкладку "Требования выдачи".
В разделе "Число подписей заверителя" введите число подписей центра регистрации, которое необходимо использовать.
Повторите предыдущее действие для каждого из новых объектов и щелкните "OK".
Нажмите кнопку "Пуск", выберите "Администрирование", затем щелкните "Центр сертификации".
Дважды щелкните имя ЦС.
Правой кнопкой мыши щелкните контейнер "Шаблоны сертификатов", "Создать", а затем — "Шаблон сертификата для выдачи".
Выберите шаблон сертификата и нажмите кнопку "OK".
Чтобы проверить правильность обработки запроса на сертификат, выполните следующие действия.
Нажмите кнопку Пуск, введите certmgr.msc, а затем нажмите клавишу ВВОД.
Если появляется диалоговое окно Контроль учетных записей пользователей, убедитесь, что вам необходимо именно указанное в нем действие, и нажмите кнопку Продолжить.
В дереве консоли дважды щелкните Личное, затем щелкните Сертификаты.
В меню Действие выберите Все задачи и щелкните Запросить новый сертификат, чтобы запустить мастер регистрации сертификатов.
С помощью мастера создайте и отправьте запрос на любой из доступных видов сертификатов.
В окне Результаты установки сертификата подтвердите правильность выполнения регистрации и отсутствие отчетов об ошибках. Можно также щелкнуть Сведения, чтобы просмотреть дополнительную информацию о сертификате.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 7 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.7" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">7</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>