Certifikattjänster kunde inte använda ett certifikat för nyckelåterställningsagenten.
Active Directory-certifikattjänster (AD CS) kräver ett certifikat för nyckelåterställningsagenten, utväxlingscertifikat (XCHG) och nycklar för att stödja nyckel för arkivering. Det är av största vikt för PKI att certifikat för nyckelåterställningsagent, XCHG-certifikat och de kryptografiproviders som behövs för att skapa dem fungerar.
Bekräfta och använd ett giltigt certifikat för nyckelåterställningsagent
För att lösa problemet måste du identifiera varför certifikatet för nyckelåterställningsagenten som används inte fungerar. Det går vanligtvis inte att använda ett certifikat för en nyckelåterställningsagent som har upphört eller återkallats.
För att kunna utföra denna procedur måste du ha behörighet att hantera certifikatutfärdare, eller ha tilldelats lämplig auktoritet.
Kontrollera giltigheten för nyckelåterställningsagentens certifikat på följande sätt:
Klicka på Start på datorn som kör certifikatutfärdaren, peka på Administrationsverktyg och klicka på Certifikatutfärdare.
Högerklicka på namnet för certifikatutfärdaren (CA) och klicka på Egenskaper.
Klicka på fliken Återställningsagenter och kontrollera om certifikatet för nyckelåterställningsagenten, vars index visas i händelseloggen, har Upphört eller är Ogiltigt. Kontrollera dess giltighet genom att bekräfta giltighetsdatum och att det innehåller tillägget utökad nyckelanvändning (EKU) som indikerar att certifikatet kan användas för nyckelåterställning.
Om ett certifikat har upphört eller är ogiltigt tar du bort det ogiltiga certifikatet för återställningsagenten och tilldelar ett nytt. Det kan hända att du måste utfärda ett nytt certifikat för återställningsagenten innan det kan registreras med certifikatutfärdaren (CA).
Mer information finns på http://go.microsoft.com/fwlink/?LinkID=95698.
Bekräfta att nyckel för arkivering och återställning fungerar korrekt:
Klicka på Start på datorn som kör certifikatutfärdaren, peka på Administrationsverktyg och klicka på Certifikatutfärdare.
Högerklicka på namnet för certifikatutfärdaren (CA) i konsolträdet och klicka sedan på Egenskaper.
Klicka på fliken Återställningsagenter.
Bekräfta att certifikaten för alla återställningsagenter visas som Giltig.
Bekräfta att ett krypteringscertifikat i behållaren för certifikatmallar har alternativet Arkivera subjektets privata krypteringsnyckel konfigurerat på fliken Hantering av begäranden.
Öppna snapin-modulen för certifikat för ett användarkonto som har behörighet att registrera för ett certifikat baserat på den här certifikatmallen.
Högerklicka på Personlig, peka på Alla uppgifter och klicka på Begär nytt certifikat i konsolträdet för att starta guiden Registrera certifikat.
Registrera för ett certifikat baserat på krypteringsmallen och bekräfta att registreringen slutförts och att inga fel har rapporterats.
Öppna snapin-modulen för certifikatutfärdare när registreringen är slutförd.
Klicka på Utfärdade certifikat i konsolträdet.
Lokalisera posten för certifikatet som utfärdades och lägg till kolumnen Arkiverad nyckel i visningslistan för snapin-modulen.
Bekräfta att ordet Ja visas i kolumnenArkiverad nyckel för det utfärdade certifikatet.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 85 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.85" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">85</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>