Службам сертификации не удалось использовать сертификат агента восстановления ключей.
Для поддержки архивации ключей службам сертификации Active Directory требуются сертификаты агента восстановления ключей, сертификаты обмена и ключи. Работа сертификатов агента восстановления ключей, сертификатов обмена и поставщиков служб шифрования, необходимых для их создания, играет важную роль в инфраструктуре открытого ключа.
Определение и использование действительного сертификата агента восстановления ключей
Для устранения этой проблемы необходимо определить, почему не удается использовать текущий сертификат агента восстановления ключей. Обычно сертификат агента восстановления ключей становится непригодным для использования, если срок его действия истек или сертификат был отозван.
Для выполнения данной процедуры необходимо иметь разрешение на управление ЦС либо обладать соответствующими делегированными полномочиями.
Чтобы проверить действительность сертификата агента восстановления ключей, выполните следующие действия.
На компьютере, на котором размещен ЦС, нажмите кнопку Пуск, выберите Администрирование и щелкните Центр сертификации.
Правой кнопкой мыши щелкните имя ЦС, затем щелкните Свойства.
Щелкните вкладку Агенты восстановления и проверьте, определено ли состояние сертификата агента восстановления, индекс которого включен в журнал событий, как Срок действия истек или Недействителен. Чтобы проверить действительность сертификата, подтвердите сроки его действия и то, что он содержит расширение расширенного использования ключа (EKU), свидетельствующее о том, что данный сертификат можно использовать для восстановления ключей.
Если сертификат недействителен или срок его действия истек, удалите недействительный сертификат агента восстановления ключей и назначьте новый. Может понадобиться выдать новый сертификат агента восстановления ключей, прежде чем он будет зарегистрирован в ЦС.
Дополнительные сведения см. по адресу http://go.microsoft.com/fwlink/?LinkID=95698.
Чтобы подтвердить правильную работу архивации и восстановления ключей, выполните следующие действия.
На компьютере, на котором размещен ЦС, нажмите кнопку Пуск, выберите Администрирование и щелкните Центр сертификации.
В дереве консоли щелкните правой кнопкой мыши имя центра сертификации (ЦС), а затем щелкните Свойства.
Щелкните вкладку Агенты восстановления.
Подтвердите, что все перечисленные сертификаты агентов восстановления отмечены как Действительный.
В разделе "Контейнер шаблонов сертификатов" подтвердите наличие у сертификата шифрования функции Архивировать закрытый ключ субъекта, настраиваемой на вкладке Обработка запроса.
Откройте оснастку "Сертификаты" для учетной записи пользователя, обладающего разрешениями на регистрацию сертификата на основе этого шаблона сертификата.
В дереве консоли щелкните правой кнопкой мыши Личное, выберите Все задачи и щелкните Запросить новый сертификат, чтобы запустить мастер регистрации сертификатов.
Зарегистрируйте сертификат на основе шаблона шифрования и подтвердите успешное завершение регистрации и отсутствие сообщений об ошибках.
По завершении регистрации откройте оснастку "Центр сертификации".
В дереве консоли щелкните Выданные сертификаты.
Найдите запись о выданном сертификате и добавьте столбец Архивированный ключ в список отображения оснастки.
Убедитесь в том, что в столбце Архивированный ключ для выданного сертификата появилась пометка Да.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 84 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.84" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">84</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>