Usługi certyfikatów nie mogą użyć certyfikatu agenta odzyskiwania kluczy.
Obsługa archiwizacji kluczy przez Usługi certyfikatów Active Directory (AD CS) wymaga certyfikatów agenta odzyskiwania kluczy, certyfikatów wymiany (XCHG) oraz kluczy. Funkcjonowanie certyfikatów agenta odzyskiwania kluczy i certyfikatów XCHG oraz niezbędnych do ich tworzenia dostawców usług kryptograficznych (CSP) ma krytyczne znaczenie dla infrastruktury kluczy publicznych.
Zidentyfikowanie i użycie prawidłowego certyfikatu agenta odzyskiwania kluczy
Rozwiązanie tego problemu wymaga ustalenia, dlaczego próba użycia obecnego certyfikatu agenta odzyskiwania kluczy kończy się niepowodzeniem. Certyfikat agenta odzyskiwania kluczy zazwyczaj staje się niezdatny do użytku, gdy wygaśnie lub zostanie odwołany.
Aby wykonać tę procedurę, trzeba posiadać uprawnienie Zarządzaj urzędem certyfikacji lub otrzymać odpowiednie uprawnienia poprzez oddelegowanie.
Aby sprawdzić poprawności certyfikatu agenta odzyskiwania kluczy:
Na komputerze hostującym urząd certyfikacji kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij pozycję Urząd certyfikacji.
Kliknij prawym przyciskiem myszy nazwę urzędu certyfikacji (CA) i kliknij polecenie Właściwości.
Kliknij kartę Agenci odzyskiwania i sprawdź, czy certyfikat agenta odzyskiwania kluczy, którego indeks jest podany w dzienniku zdarzeń, ma stan Wygasły lub Nieprawidłowy. Aby sprawdzić jego poprawność, sprawdź daty ważności i upewnij się, że zawiera on rozszerzenie EKU (ulepszonego użycia klucza), umożliwiające używanie certyfikatu do odzyskiwania kluczy.
Jeśli certyfikat wygasł lub jest nieprawidłowy, usuń nieprawidłowy certyfikat agenta odzyskiwania kluczy i przypisz nowy. Rejestracja w urzędzie certyfikacji może wymagać wystawienia nowego certyfikatu agenta odzyskiwania kluczy.
Aby uzyskać więcej informacji, zobacz http://go.microsoft.com/fwlink/?LinkID=95698.
Aby upewnić się, że archiwizacja i odzyskiwanie kluczy działają poprawnie:
Na komputerze udostępniającym urząd certyfikacji kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Urząd certyfikacji.
W drzewie konsoli kliknij prawym przyciskiem myszy nazwę urzędu certyfikacji (CA), a następnie kliknij polecenie Właściwości.
Kliknij kartę Agenci odzyskiwania.
Upewnij się, że wszystkie certyfikaty agentów odzyskiwania klucza są wyświetlane ze stanem Prawidłowy.
Upewnij się, że w kontenerze Szablony certyfikatów istnieje certyfikat szyfrowania z opcją Archiwizuj klucz prywatny szyfrowania podmiotu skonfigurowaną na karcie Obsługiwanie żądań.
Otwórz przystawkę certyfikatów dla konta użytkownika posiadającego uprawnienia do rejestracji certyfikatu na podstawie tego szablonu certyfikatu.
W drzewie konsoli kliknij prawym przyciskiem myszy opcję Osobiste, wskaż polecenie Wszystkie zadania i kliknij polecenie Żądaj nowego certyfikatu, aby uruchomić Kreatora rejestracji certyfikatów.
Zarejestruj certyfikat na podstawie szablonu szyfrowania i upewnij się, że rejestracja została ukończona pomyślnie i nie zostały zgłoszone żadne błędy.
Po zakończeniu rejestracji otwórz przystawkę Urząd certyfikacji.
W drzewie konsoli kliknij opcję Wystawione certyfikaty.
Zlokalizuj wpis wystawionego właśnie certyfikatu i dodaj kolumnę Zarchiwizowany klucz do listy wyświetlania przystawki.
Upewnij się, że w kolumnie Zarchiwizowany klucz dla wystawionego właśnie certyfikatu jest widoczna wartość Tak.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 85 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.85" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">85</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>