Службам сертификации не удалось опубликовать сертификат конечного субъекта.
Одной из основных функций центра сертификации (ЦС) является оценка запросов на сертификаты от клиентов и выдача сертификатов для этих клиентов в случае соответствия запросов предопределенным критериям. Для успешной регистрации сертификата перед отправкой запроса необходимо наличие нескольких элементов. К ним относятся ЦС с действительным сертификатом ЦС, правильно настроенные шаблоны сертификатов, учетные записи клиентов и запросы на сертификаты, а также возможность отправки клиентом запроса в ЦС, проверки запроса и установки выданного сертификата.
Разрешение публикации сертификата конечного субъекта
Для публикации сертификата необходимо сетевое подключение и права доступа к сети. Чтобы разрешить эту проблему, выполните следующие действия:
Убедитесь в наличии сетевого подключения между клиентом и центром сертификации (ЦС).
Убедитесь в наличии у ЦС разрешения на чтение и запись для атрибута userCertificate объекта пользователя или компьютера субъекта, запрашивающего сертификат.
При наличии более одного домена или двухуровневой иерархии доменов (родительский и дочерний) необходимо предоставить группе издателей сертификатов одного домена (домен A) разрешения на чтение и запись для атрибута userCertificate другого домена (домен B). Для этого необходимо выполнить процедуру раздела "Устранение ошибок междоменных разрешений".
Опубликуйте сертификат.
Для выполнения этих процедур необходимо иметь разрешение на управление ЦС либо обладать соответствующими делегированными полномочиями.
Подтверждение сетевого подключения между клиентом и центром сертификации
Чтобы убедиться в наличии подключения клиента к центру сертификации, выполните следующие действия.
На клиенте нажмите кнопку "Пуск", введите "cmd" и нажмите ВВОД.
Введите ping <server_FQDN>, где server_FQDN — полное доменное имя ЦС (например, server1.contoso.com), и нажмите клавишу ВВОД.
При успешном выполнении команды Ping вы получите ответ, похожий на следующий:
Ответ от IP_адрес: число байт=32 время=3мс TTL=59
Ответ от IP_адрес: число байт=32 время=20мс TTL=59
Ответ от IP_адрес: число байт=32 время=3мс TTL=59
Ответ от IP_адрес: число байт=32 время=6мс TTL=59 3
В командной строке введите "ping IP_address", где IP_address - это IP-адрес ЦС, и нажмите клавишу ВВОД.
Если подключение к центру сертификации удается осуществить только с помощью IP-адреса, но не с помощью полного доменного имени, это свидетельствует о возможных сбоях разрешения имени узла службы доменных имен (DNS). Если не удается осуществить подключение к центру сертификации по IP-адресу, это свидетельствует о возможных неполадках сетевого подключения, конфигурации брандмауэра или IPsec.
Проверка наличия разрешений на контейнеры доменных компьютеров и пользователей домена в Active Directory
Чтобы подтвердить наличие у ЦС необходимых разрешений на контейнеры доменных компьютеров и пользователей домена, выполните следующие действия.
Нажмите кнопку "Пуск", выберите "Администрирование", затем щелкните "Службы и узлы Active Directory".
В меню "Просмотр" щелкните "Показать узел служб".
Дважды щелкните Services, дважды щелкните Public Key services, правой кнопкой мыши щелкните "Доменные компьютеры", затем щелкните "Свойства".
На вкладке "Безопасность" подтвердите наличие у группы издателей сертификатов разрешений на чтение и запись.
Правой кнопкой мыши щелкните "Пользователи домена", затем щелкните "Свойства".
На вкладке "Безопасность" подтвердите наличие у группы издателей сертификатов разрешений на чтение и запись.
Устранение ошибок междоменных разрешений
Чтобы установить эти разрешения с помощью средства Dsacls, выполните следующие действия.
Нажмите кнопку "Пуск", введите "cmd" и нажмите ВВОД для выполнения следующих команд:
dsacls "dc=<domainB>,dc=<contoso>,dc=<com>" /I:S /G "<domainA>\Cert Publishers":RP;userCertificate,user
dsacls "dc=<domainB>,dc=<contoso>,dc=<com>" /I:S /G "<domainA>\Cert Publishers":WP;userCertificate,user
dsacls "cn=<adminsdholder>,cn=system,dc=<contoso>,dc=<com>" /I:S /G \Cert Publishers":RP;userCertificate,user
dsacls "cn=<adminsdholder>,cn=system,dc=<domainB>,dc=<contoso>,dc=<com>" /I:S /G "<domainA>\Cert Publishers":WP;userCertificate,user
Подставьте правильные имена вашей организации в заполнители <domainname> и <com> в примере.
Дополнительные сведения см. в статье 281271 Базы знаний Майкрософт ( http://go.microsoft.com/fwlink/?LinkID=95695).
Публикация сертификата
Чтобы опубликовать сертификат, выполните следующие действия.
На компьютере, на котором размещен ЦС, нажмите кнопку "Пуск", введите "cmd" и нажмите клавишу ВВОД.
Введите ping <ipaddress>, где ipaddress — это IP-адрес контроллера домена, и нажмите клавишу ВВОД, чтобы подтвердить наличие сетевого подключения. При отсутствии сетевого подключения устраните проблему и повторите попытку.
В командной строке введите certutil -dspublish <cert.cer> ldap:///<сетевое расположение из сообщения журнала событий> пи нажмите ВВОД. <Cert.cer> — это файл сертификата, экспортированный с помощью мастера экспорта сертификатов.
Если соединение работает, а сертификат опубликовать все равно не удается, с помощью раздела "Пользователи и компьютеры Active Directory" убедитесь, что компьютер, на котором размещен ЦС, имеет разрешения на чтение и запись для атрибута userCertificate объекта пользователя или компьютера. (Эти разрешения обычно предоставляются членам группы издателей сертификатов).
Чтобы проверить правильность обработки запроса на сертификат, выполните следующие действия.
Нажмите кнопку Пуск, введите certmgr.msc, а затем нажмите клавишу ВВОД.
Если появляется диалоговое окно Контроль учетных записей пользователей, убедитесь, что вам необходимо именно указанное в нем действие, и нажмите кнопку Продолжить.
В дереве консоли дважды щелкните Личное, затем щелкните Сертификаты.
В меню Действие выберите Все задачи и щелкните Запросить новый сертификат, чтобы запустить мастер регистрации сертификатов.
С помощью мастера создайте и отправьте запрос на любой из доступных видов сертификатов.
В окне Результаты установки сертификата подтвердите правильность выполнения регистрации и отсутствие отчетов об ошибках. Можно также щелкнуть Сведения, чтобы просмотреть дополнительную информацию о сертификате.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 80 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.80" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">80</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>