Servizi certificati: rilevato un errore durante il caricamento dei certificati degli agenti di recupero chiavi.
Servizi certificati Active Directory (AD CS) richiede certificati degli agenti di recupero chiavi, certificati di scambio (XCHG) e chiavi al fine di supportare l'archiviazione delle chiavi. Il funzionamento dei certificati degli agenti di recupero chiavi, dei certificati XCHG e dei provider del servizio di crittografia necessari per la loro creazione è fondamentale per un'infrastruttura a chiave pubblica.
Configurazione del numero corretto di certificati degli agenti di recupero chiavi
Assicurarsi che per l'autorità di certificazione (CA) sia disponibile il numero corretto di certificati degli agenti di recupero chiavi. È possibile impostare il numero di certificati degli agenti di recupero chiavi necessari nella scheda Agenti recupero dati nello snap-in Autorità di certificazione.
Per eseguire questa procedura è necessario disporre dell'autorizzazione Gestione CA oppure avere ricevuto in delega l'autorità appropriata.
Per identificare problemi specifici relativi ai certificati degli agenti di recupero chiavi:
Nel computer in cui si trova la CA fare clic sul pulsante Start, scegliere Strumenti di amministrazione, quindi fare clic su Autorità di certificazione.
Fare clic con il pulsante destro del mouse sul nome della CA, quindi scegliere Proprietà.
Fare clic sulla scheda Agenti recupero dati.
Controllare la colonna dello stato dei certificati degli agenti di recupero chiavi. Se uno o più certificati sono indicati come Scaduto o Non valido, rimuovere i certificati degli agenti di recupero chiavi scaduti o non validi, quindi eseguire la registrazione e assegnare nuovi certificati.
Se non si rilevano problemi con tali certificati, esportare ogni certificato in un file con estensione cer, aprire una finestra del prompt dei comandi ed eseguire il seguente comando per ogni file per verificarne la validità e lo stato di revoca: certutil -verify e premere INVIO.
In alternativa, se si ha un minor numero di certificati degli agenti di recupero chiavi validi rispetto a quelli indicati, è anche possibile accedere alla scheda Agenti recupero dati e ridurre il numero di agenti di recupero chiavi necessari.
Per altre informazioni, vedere http://go.microsoft.com/fwlink/?LinkID=95698.
Per verificare che l'archiviazione e il recupero delle chiavi funzioni correttamente:
Sul computer su cui si trova la CA, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Autorità di certificazione.
Nell'albero della console, fare clic con il pulsante destro del mouse sul nome dell'autorità di certificazione (CA), quindi fare clic su Proprietà.
Fare clic sulla scheda Agenti recupero dati.
Verificare che tutti i certificati degli agenti di recupero chiavi siano elencati come Valido.
Nel contenitore Modelli di certificato, verificare che un certificato di crittografia disponga dell'opzione Archivia chiave privata di crittografia del soggetto configurata nella scheda Gestione richiesta.
Aprire lo snap-in Certificati per un account utente che disponga di autorizzazioni per la registrazione di un certificato basato su questo modello di certificato.
Nell'albero della console menu, fare clic su Personale, scegliere Tutte le attività, quindi fare clic su Richiedi nuovo certificato per avviare la procedura guidata di registrazione certificato.
Registrare un certificato basato sul modello di crittografia e verificare che la registrazione venga completata correttamente e senza la segnalazione di errori.
Quando la registrazione è completa, aprire lo snap-in Autorità di certificazione.
Nell'albero della console, fare clic su Certificati emessi.
Individuare la voce per il certificato appena emesso e aggiungere la colonna Chiave archiviata all'elenco di visualizzazione degli snap-in.
Verificare che la parola Sì venga visualizzata nella colonna Chiave archiviata per il certificato appena emesso.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 83 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.83" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">83</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID887fa092475a4f92804af124cf8eff1c"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>