Sertifika Hizmetleri bir son varlık sertifikasını yayımlayamadı.
Sertifika yetkilisinin (CA) birincil işlevlerinden biri, istemcilerin gelen sertifika isteklerini değerlendirmek ve önceden tanımlanmış ölçütlerin karşılanması durumunda, söz konusu istemcilere sertifika vermektir. Sertifika kaydının başarılı olması için, istek gönderilmeden önce birkaç koşulun yerine getirilmiş olması gerekir. Bu koşullara, geçerli bir CA sertifikasına sahip bir CA; doğru şekilde yapılandırılmış sertifika şablonları, istemci hesapları ve sertifika istekleri ve istemcinin isteği CA'ya göndermesi, isteğin doğrulanmasını sağlaması ve verilen sertifikayı yüklemesi için bir yol dahildir.
Son varlık sertifikasının yayımlanmasını etkinleştirin
Bir sertifika yayımlamak için ağ bağlantısı ve ağ izinleri gereklidir. Bu sorunu gidermek için:
İstemci ve sertifika yetkilisi (CA) arasında ağ bağlantısı olduğunu onaylayın.
CA'nın, sertifikayı isteyen varlığın kullanıcı veya bilgisayar nesnesinin userCertificate özniteliği üzerinde Okuma ve Yazma izinlerine sahip olduğunu onaylayın.
Birden fazla etki alanına veya iki düzeyli (üst öğe/alt öğe) etki alanı hiyerarşisine sahipseniz, bir etki alanındaki (etki alanı A) Cert Publishers grubuna diğer etki alanındaki (etki alanı B) userCertificate özniteliği üzerinde Okuma ve Yazma izinleri vermeniz gerekir. Bunu yapmak için, "Etki alanları arası izin hatalarını düzeltin" bölümündeki yordamı izleyin.
Sertifikayı yayınlayın.
Bu yordamları gerçekleştirmek için CA'yı Yönet izinlerine sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.
Bir istemci ile bir CA arasındaki ağ bağlantısını onaylayın
CA'ya yönelik bir istemci bağlantısını onaylamak için:
İstemci üzerinde, Başlat'a tıklayın, cmd yazın ve ENTER tuşuna basın.
ping <server_FQDN> yazın (burada <server_FQDN>, CA'nın tam etki alanı adıdır (FQDN) (örneğin, server1.contoso.com)) ve ENTER tuşuna basın.
Ping başarılı olduğunda aşağıdakine benzer bir yanıt alırsınız:
IP_address yanıtı: bayt=32 süre=3ms TTL=59
IP_address yanıtı: bayt=32 süre=20ms TTL=59
IP_address yanıtı: bayt=32 süre=3ms TTL=59
Reply from IP_address: bytes=32 time=6ms TTL=59 3
Komut isteminde ping <IP_address> yazın (burada <IP_address>, CA'nın IP adresidir) ve ardından ENTER tuşuna basın.
CA'ya bağlantının IP adresiyle başarılı olması ancak FQDN ile başarısız olması, Etki Alanı Adı Sistemi (DNS) ana bilgisayar ad çözümlemesiyle ilgili olası bir sorun olduğunu gösterir. CA'ya bağlantının IP adresiyle başarısız olması, ağ bağlantısı, güvenlik duvarı yapılandırması veya Internet Protokolü güvenliği (IPsec) yapılandırmasıyla ilgili olası bir sorun olduğunu gösterir.
Active Directory'de Etki Alanı Bilgisayarları ve Etki Alanı Kullanıcıları kapsayıcıları üzerindeki izinleri onaylayın
CA'nın Etki Alanı Bilgisayarları ve Etki Alanı Kullanıcıları kapsayıcıları üzerinde gerekli izinlere sahip olduğunu onaylamak için:
Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Active Directory Siteleri ve Hizmetleri'ne tıklayın.
Görünüm menüsünde, Hizmet Düğümünü Göster'e tıklayın.
Hizmetler'e çift tıklayın, Ortak Hizmetleri'ne çift tıklayın, Etki Alanı Bilgisayarları'na sağ tıklayın ve Özellikler'e tıklayın.
Güvenlik sekmesinde, Cert Publishers grubunun Okuma ve Yazma izinleri olduğunu onaylayın.
Etki Alanı Kullanıcıları'na sağ tıklayın ve Özellikler'e tıklayın.
Güvenlik sekmesinde, Cert Publishers grubunun Okuma ve Yazma izinleri olduğunu onaylayın.
Etki alanları arası izin hatalarını düzeltin
Bu izinleri Dsacls aracını kullanarak ayarlamak için:
Başlat'a tıklayın, cmd yazın ve ENTER tuşuna basın, sonra şu komutları çalıştırın:
dsacls "dc=<domainB>,dc=<contoso>,dc=<com>" /I:S /G "<domainA>\Cert Publishers":RP;userCertificate,user
dsacls "dc=<domainB>,dc=<contoso>,dc=<com>" /I:S /G "<domainA>\Cert Publishers":WP;userCertificate,user
dsacls "cn=<adminsdholder>,cn=system,dc=<contoso>,dc=<com>" /I:S /G \Cert Publishers":RP;userCertificate,user
dsacls "cn=<adminsdholder>,cn=system,dc=<domainB>,dc=<contoso>,dc=<com>" /I:S /G "<domainA>\Cert Publishers":WP;userCertificate,user
Örnekteki <domainname> ve <com> yer tutucularını kuruluşunuzdan doğru adlarla değiştirin.
Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki 281271 numaralı makaleye bakın ( http://go.microsoft.com/fwlink/?LinkID=95695).
Sertifika yayımlayın
Sertifikayı yayımlamak için:
CA'yı barındıran bilgisayar üzerinde Başlat'a tıklayın, cmd yazın ve ENTER tuşuna basın.
Ağ bağlantınız olduğunu onaylamak için ping <ipaddress> yazın (burada <ipaddress> etki alanı denetleyicisinin IP adresidir) ve ENTER tuşuna basın. Ağ bağlantınız yoksa, sorunu giderin ve yeniden deneyin.
Komut isteminde certutil -dspublish <cert.cer> ldap:///<olay günlüğü iletisindeki ağ konumu> yazın ve ENTER tuşuna basın. <Cert.cer>, Sertifika Dışarı Aktarma Sihirbazı kullanılarak dışarı aktarılan sertifika dosyasıdır.
Bağlantınız olmasına rağmen sertifikayı yayımlayamıyorsanız, CA'yı barındıran bilgisayarın kullanıcı veya bilgisayar nesnesinin userCertificate özniteliği üzerinde Okuma ve Yazma izinlerine sahip olduğunu onaylamak için Active Directory Kullanıcıları ve Bilgisayarları'nı kullanın. (Bu genellikle Cert Publishers grubuna üyelik yoluyla sağlanır).
Sertifika isteği işleme olanağının doğru şekilde çalıştığını onaylamak için:
Başlat'a tıklayın, certmgr.msc yazın ve sonra ENTER tuşuna basın.
Kullanıcı Hesabı Denetimi iletişim kutusu görüntülenirse, kutuda görüntülenen eylemin istediğiniz eylem olduğunu doğrulayın ve ardından Devam'a tıklayın.
Konsol ağacında, Kişisel öğesine çift tıklayın ve sonra Sertifikalar öğesine tıklayın.
Eylem menüsünde, Tüm Görevler'in üzerine gidin ve Sertifika Kaydı sihirbazını başlatmak için Yeni Sertifika İste öğesine tıklayın.
Kullanılabilir herhangi bir tür sertifika için sertifika isteği oluşturmak ve göndermek üzere sihirbazı kullanın.
Sertifika Yükleme Sonuçları altında, kaydın başarıyla tamamlandığını ve hata bildirilmediğini onaylayın. Ayrıca, sertifikayla ilgili ek bilgileri görüntülemek için Ayrıntılar öğesine tıklayabilirsiniz.
| Target | Microsoft.Windows.CertificateServices.CARole.2016 |
| Category | EventCollection |
| Enabled | True |
| Event_ID | 80 |
| Event Source | Microsoft-Windows-CertificationAuthority |
| Alert Generate | False |
| Remotable | True |
| Event Log | Application |
| ID | Module Type | TypeId | RunAs |
|---|---|---|---|
| DS | DataSource | Microsoft.Windows.EventProvider | Default |
| WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
| WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
Home
TRK <Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.80" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">80</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>