Certificate Services kan een eindentiteitscertificaat niet publiceren.
Een van de belangrijkste functies van een certificeringsinstantie (CA) is het evalueren van certificaataanvragen van clients en, als wordt voldaan aan vooraf gedefinieerde criteria, het verlenen van certificaten aan die clients. Om de certificaatinschrijving te voltooien moet een aantal elementen zijn geïmplementeerd voordat de aanvraag kan worden ingediend, inclusief een CA met een geldig CA-certificaat; op de juiste manier geconfigureerde certificaatsjablonen, clientaccounts en certificaataanvragen; en een manier voor de client om de aanvraag bij de CA in te dienen, de aanvraag te laten valideren en het verleende certificaat te installeren.
De publicatie van een eindentiteitcertificaat inschakelen
U hebt een netwerkverbinding en netwerkmachtigingen nodig om een certificaat te kunnen publiceren. Dit probleem oplossen:
Controleer of er een netwerkverbinding is tussen de client en de certificeringsinstantie (CA).
Controleer of de CA lees- en schrijfmachtigingen heeft voor het kenmerk userCertificate van de gebruiker of het computerobject van de entiteit die het certificaat aanvraagt.
Als u meer dan een domein hebt of een domeinhiërarchie op twee niveaus (bovenliggend/onderliggend), moet u toestaan dat de groep Certificaatuitgevers van het ene domein (domein A) lees- en schrijfmachtigingen heeft voor het kenmerk userCertificate in een ander domein (domein B). Volg hiertoe de procedure in het gedeelte 'Fouten met machtigingen tussen domeinen oplossen'.
Publiceer het certificaat.
U moet de machtiging CA beheren hebben of aan u moet de juiste bevoegdheid zijn gedelegeerd om deze procedures te kunnen uitvoeren.
De netwerkverbinding tussen een client en een CA controleren
Controleer als volgt de verbinding tussen een client en een CA:
Klik op de client op Start, typ cmd en druk op ENTER.
Typ ping <server_FQDN>, waarbij <server_FQDN> de volledige gekwalificeerde domeinnaam (FQDN) van de certificeringsinstantie (CA) is (bijvoorbeeld server1.contoso.com). Druk vervolgens op ENTER.
Als de ping is geslaagd, ontvangt u een antwoord dat op het volgende lijkt:
Antwoord van IP_adres: bytes=32 time=3ms TTL=59
Antwoord van IP_adres: bytes=32 time=20ms TTL=59
Antwoord van IP_adres: bytes=32 time=3ms TTL=59
Antwoord van IP_adres: bytes=32 time=6ms TTL=59 3
Typ ping <IP_adres> op de opdrachtregel, waarbij <IP_adres> het IP-adres van de certificeringsinstantie (CA) is, en druk dan op ENTER.
Als u wel verbinding met de CA kunt maken via het IP-adres, maar niet via FQDN, geeft dit aan dat er mogelijk een probleem is met de DNS-hostnaamomzetting (Domain Name System). Als u geen verbinding met de CA kunt maken via het IP-adres, geeft dit aan dat er mogelijk een probleem is met de netwerkverbinding, de configuratie van de firewall of de IPsec-configuratie (Internet Protocol security).
Controleer de machtigingen voor de containers Domeincomputers en Domeingebruikers in Active Directory
Ga als volgt te werk om te controleren of de CA de benodigde machtigingen heeft voor de containers Domeincomputers en Domeingebruikers:
Klik op Start, wijs Systeembeheer aan en klik op Active Directory: sites en services.
Klik in het menu Beeld op Knooppunt met services weergeven.
Dubbelklik op Services, dubbelklik op Public Key Services, klik met de rechtermuisknop op Domeincomputers en klik op Eigenschappen.
Controleer op het tabblad Beveiliging of de groep Certificaatuitgevers lees- en schrijfmachtigingen heeft.
Klik met de rechtermuisknop op Domeingebruikers en klik op Eigenschappen.
Controleer op het tabblad Beveiliging of de groep Certificaatuitgevers lees- en schrijfmachtigingen heeft.
Fouten met machtigingen tussen domeinen corrigeren
Stel als volgt deze machtigingen in met het hulpprogramma Dsacls:
Klik op Start, typ cmd, druk op ENTER en voer vervolgens de volgende opdrachten uit:
dsacls "dc=<domeinB>,dc=<contoso>,dc=<com>" /I:S /G "<domeinA>\Cert Publishers":RP;userCertificate,user
dsacls "dc=<domeinB>,dc=<contoso>,dc=<com>" /I:S /G "<domeinA>\Cert Publishers":WP;userCertificate,user
dsacls "cn=<adminsdholder>,cn=system,dc=<contoso>,dc=<com>" /I:S /G \Cert Publishers":RP;userCertificate,user
dsacls "cn=<adminsdholder>,cn=system,dc=<domeinB>,dc=<contoso>,dc=<com>" /I:S /G "<domeinA>\Cert Publishers":WP;userCertificate,user
Vervang de juiste namen van uw organisatie door de tijdelijke aanduidingen <domeinnaam> en <com> in het voorbeeld.
Zie artikel 281271 in de Microsoft Knowledge Base ( http://go.microsoft.com/fwlink/?LinkID=95695) voor meer informatie.
Een certificaat publiceren
Ga als volgt te werk om een certificaat te publiceren:
Klik op de computer die als host van de CA optreedt op Start, typ cmd en druk op ENTER.
Typ ping <ip-adres>, waarbij <ip-adres> het IP-adres van een domeincontroller en druk op ENTER om te bevestigen dat u een netwerkverbinding hebt. Los het probleem op als u geen netwerkverbinding hebt en probeer het opnieuw.
Typ certutil -dspublish <cert.cer> ldap:///<netwerklocatie die in het gebeurtenislogboekbericht wordt vermeld> op een opdrachtregel en druk op ENTER. <Cert.cer> is een certificaatbestand dat is geëxporteerd met de wizard Certificaat exporteren.
Als u een verbinding hebt, maar het certificaat nog steeds niet kunt publiceren, gebruikt u Active Directory: gebruikers en computers om te controleren of de computer die als host van de CA optreedt, lees- en schrijfmachtigingen voor het kenmerk userCertificate van de gebruiker of het computerobject. (Over het algemeen is dit door het lidmaatschap van de groep Certificaatuitgevers.)
Controleer als volgt of de verwerking van de certificaataanvraag goed functioneert:
Klik op Start, typ certmgr.msc en druk vervolgens op ENTER.
Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, controleert u of de gewenste actie wordt weergegeven en klikt u op Doorgaan.
Dubbelklik in de consolestructuur op Persoonlijk en klik vervolgens op Certificaten.
Wijs in het menu Actie de optie Alle taken aan en klik op Nieuw certificaat aanvragen om de wizard Certificaat inschrijven te starten.
Gebruik de wizard om een certificaataanvraag te maken en in te dienen voor alle typen certificaten die beschikbaar zijn.
Controleer onder Resultaten van certificaatinstallatie of de inschrijving wordt voltooid en of er geen fouten worden gerapporteerd. U kunt ook op Details klikken om extra gegevens over het certificaat weer te geven.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 79 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.79" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">79</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>