Die Zertifikatsdienste konnten ein Zertifikat eines Schlüsselwiederherstellungs-Agents nicht verwenden.
Die Active Directory-Zertifikatsdienste (AD CS) erfordern Zertifikate des Schlüsselwiederherstellungs-Agents, Austauschzertifikate (XCHG) und Schlüssel zur Unterstützung der Schlüsselarchivierung. Die Funktion der Zertifikate des Schlüsselwiederherstellungs-Agents, der XCHG-Zertifikate und die zum Erstellen dieser Zertifikate erforderlichen Kryptografiedienstanbieter sind für eine Public Key-Infrastruktur entscheidend.
Gültiges Zertifikat des Schlüsselwiederherstellungs-Agents erkennen und verwenden
Sie müssen ermitteln, warum das verwendete Zertifikat des Schlüsselwiederherstellungs-Agents nicht erfolgreich war, um dieses Problem zu beheben. Im Allgemeinen wird das Zertifikat des Schlüsselwiederherstellungs-Agents unbrauchbar, wenn es abgelaufen ist oder gesperrt wurde.
Zum Ausführen dieses Verfahrens müssen Sie über die Berechtigung "Zertifizierungsstelle verwalten" verfügen, oder an Sie müssen die entsprechenden Berechtigungen delegiert worden sein.
So untersuchen Sie die Gültigkeit des Zertifikats des Schlüsselwiederherstellungs-Agents
Klicken Sie auf dem Computer, der die Zertifizierungsstelle hostet, auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Zertifizierungsstelle.
Klicken Sie mit der rechten Maustaste auf den Namen der Zertifizierungsstelle, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf die Registerkarte Wiederherstellungs-Agents, und prüfen Sie dann, ob das Zertifikat des Schlüsselwiederherstellungs-Agents, dessen Index im Ereignisprotokoll aufgeführt ist, den Status Abgelaufen oder Ungültig aufweist. Bestätigen Sie zum Prüfen der Gültigkeit ihre Gültigkeitsdaten und bestätigen Sie außerdem, dass sie die EKU-Erweiterung (erweiterte Schlüsselverwendung) enthält, die anzeigt, dass dieses Zertifikat für die Schlüsselwiederherstellung verwendet werden kann.
Wenn ein Zertifikat abgelaufen oder ungültig ist, entfernen Sie das Zertifikat des Schlüsselwiederherstellungs-Agents, und weisen Sie ein neues Zertifikat zu. Sie müssen möglicherweise ein neues Zertifikat des Schlüsselwiederherstellungs-Agents ausstellen, bevor es mit der Zertifizierungsstelle registriert werden kann.
Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkID=95698.
So bestätigen Sie, dass die Schlüsselarchivierung und -wiederherstellung ordnungsgemäß funktionieren
Klicken Sie auf dem Computer, der die Zertifizierungsstelle hostet, auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Zertifizierungsstelle.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die Zertifizierungsstelle, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf die Registerkarte Wiederherstellungs-Agents.
Bestätigen Sie, dass alle Zertifikate des Schlüsselwiederherstellungs-Agents als Gültig aufgelistet werden.
Bestätigen Sie im Container "Zertifikatvorlagen", dass für ein Verschlüsselungszertifikat die Option Privaten Schlüssel für die Verschlüsselung archivieren auf der Registerkarte Anforderungsverarbeitung konfiguriert ist.
Öffnen Sie das Snap-In "Zertifikate" für ein Benutzerkonto, das über die Berechtigungen zum Registrieren für ein Zertifikat verfügt, das auf dieser Zertifikatvorlage basiert.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Eigene Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Neues Zertifikat anfordern, um den Assistenten für die Zertifikatregistrierung zu starten.
Registrieren Sie ein Zertifikat auf Basis der Verschlüsselungsvorlage, und bestätigen Sie, dass die Registrierung erfolgreich ohne Fehler abgeschlossen wurde.
Öffnen Sie nach Abschluss der Registrierung das Snap-In "Zertifizierungsstelle".
Klicken Sie in der Konsolenstruktur auf Ausgestellte Zertifikate.
Suchen Sie den Eintrag für das soeben ausgestellte Zertifikat, und fügen Sie die Spalte Archivierter Schlüssel zur Snap-In-Anzeigeliste hinzu.
Bestätigen Sie, dass das Wort Ja in der Spalte Archivierter Schlüssel für das soeben ausgestellte Zertifikat angezeigt wird.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 84 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.84" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">84</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>