Sammlungsregel für Ereignis mit Quelle "CertificationAuthority" und ID 86

Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.86 (Rule)

Die Zertifikatsdienste konnten den angegebenen Anbieter für Verschlüsselungsschlüssel nicht verwenden.

Knowledge Base article:

Zusammenfassung

Die Active Directory-Zertifikatsdienste (AD CS) erfordern Zertifikate des Schlüsselwiederherstellungs-Agents, Austauschzertifikate (XCHG) und Schlüssel zur Unterstützung der Schlüsselarchivierung. Die Funktion der Zertifikate des Schlüsselwiederherstellungs-Agents, der XCHG-Zertifikate und die zum Erstellen dieser Zertifikate erforderlichen Kryptografiedienstanbieter sind für eine Public Key-Infrastruktur entscheidend.

Lösungen

Verwenden Sie einen Kryptografiedienstanbieter, der die Schlüsselarchivierung und -wiederherstellung unterstützt.

Möglicherweise können von Kryptografieanbietern verursachte Probleme nicht über die Option "Verwaltung" behoben werden. Kryptografieanbieter stellen die Softwarekomponente dar, die die Verschlüsselung und zugehörige Aufgaben für die Generierung von Verschlüsselungszertifikaten ausführt. Die folgenden Aufgaben können jedoch Diagnoseinformationen offenlegen, um den Auflösungsprozess zu unterstützen:

Ermitteln und testen Sie Ihren Kryptografieanbieter.
Wenn weiterhin Probleme auftreten, und Sie einen anderen Anbieter als Microsoft verwenden, wenden Sie sich an den Hersteller, um Informationen zur Problembehandlung zu erhalten.
Sie können auch wieder den standardmäßigen Verschlüsselungsschlüsselanbieter verwenden, müssen aber auch das aktuelle Zertifizierungsstellen-Austauschzertifikat sperren, damit ein neues Zertifikat auf Basis des neuen Anbieters ausgestellt wird.
Wenn weiterhin Probleme auftreten, und Sie einen Microsoft-Anbieter verwenden, wenden Sie sich an den Microsoft-Kundendienst und -Support.

Ermitteln und testen Sie Ihren Kryptografieanbieter.

Zum Ausführen dieses Verfahrens müssen Sie über die Berechtigung "Zertifizierungsstelle verwalten" verfügen, oder an Sie müssen die entsprechenden Berechtigungen delegiert worden sein.

So ermitteln und testen Sie den verwendeten Kryptografieanbieter

Öffnen Sie ein Eingabeaufforderungsfenster.
Geben Sie "certutil -getreg ca\EncryptionCSP" ein, und drücken Sie die EINGABETASTE.
Geben Sie certutil -csp <providername> -csptest ein, und drücken Sie die EINGABETASTE. Ersetzen Sie "providername" durch den Anbieter, den Sie in der Ausgabe von Schritt 2 identifiziert haben.
Wenn Sie einen anderen Anbieter als Microsoft verwenden, wenden Sie sich an den Hersteller, um Unterstützung zu erhalten. Andernfalls wenden Sie sich an den Microsoft-Kundendienst und -Support.

Standardanbieter für Verschlüsselungsschlüssel zurücksetzen

Zum Ausführen dieses Verfahrens müssen Sie Mitglied der Gruppe der lokalen Administratoren sein, oder an Sie müssen die entsprechenden Berechtigungen delegiert worden sein.

Sie können die Zertifizierungsstelle so konfigurieren, dass sie den Microsoft-Standardanbieter für Verschlüsselungszertifikate verwendet, indem Sie den folgenden Registrierungsschlüssel auf "Microsoft Software Key Storage Provider" festlegen.

Hinweis: Möglicherweise müssen Sie das aktuelle Zertifizierungsstellen-Austauschzertifikat sperren, falls vorhanden, damit ein neues Zertifikat auf Basis des neuen Anbieters ausgestellt werden kann. Anschließend starten Sie die Zertifizierungsstelle neu.

So ändern Sie einen konfigurierten Verschlüsselungsschlüsselanbieter

Vorsicht: Durch eine fehlerhafte Bearbeitung der Registrierung können schwere Systemschäden verursacht werden. Bevor Änderungen an der Registrierung vorgenommen werden, sollten Sie eine Sicherungskopie aller wichtigen Daten erstellen.

Klicken Sie auf dem Computer, der die Zertifizierungsstelle hostet, auf "Start", geben Sie "regedit" ein, und drücken Sie dann die EINGABETASTE.
Navigieren Sie zu "HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\CA Name\EncryptionCSP\Provider".
Ändern Sie den aufgeführten Wert in "Microsoft Software Key Storage Provider".
Öffnen Sie das Zertifizierungsstellen-Snap-In.
Klicken Sie in der Konsolenstruktur auf "Ausgestellte Zertifikate".
Wählen Sie im Detailbereich das Zertifizierungsstellen-Austauschzertifikat aus.
Zeigen Sie im Menü "Aktion " auf "Alle Aufgaben", und klicken Sie dann auf "Zertifikat sperren".
Wählen Sie den Grund für die Zertifikatsperrung aus, passen Sie gegebenenfalls den Zeitpunkt der Sperrung an, und klicken Sie dann auf Ja.
Starten Sie die Zertifizierungsstelle neu.

Zusätzliche Informationen

So bestätigen Sie, dass die Schlüsselarchivierung und -wiederherstellung ordnungsgemäß funktionieren

Klicken Sie auf dem Computer, der die Zertifizierungsstelle hostet, auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Zertifizierungsstelle.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die Zertifizierungsstelle, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf die Registerkarte Wiederherstellungs-Agents.
Bestätigen Sie, dass alle Zertifikate des Schlüsselwiederherstellungs-Agents als Gültig aufgelistet werden.
Bestätigen Sie im Container "Zertifikatvorlagen", dass für ein Verschlüsselungszertifikat die Option Privaten Schlüssel für die Verschlüsselung archivieren auf der Registerkarte Anforderungsverarbeitung konfiguriert ist.
Öffnen Sie das Snap-In "Zertifikate" für ein Benutzerkonto, das über die Berechtigungen zum Registrieren für ein Zertifikat verfügt, das auf dieser Zertifikatvorlage basiert.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Eigene Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Neues Zertifikat anfordern, um den Assistenten für die Zertifikatregistrierung zu starten.
Registrieren Sie ein Zertifikat auf Basis der Verschlüsselungsvorlage, und bestätigen Sie, dass die Registrierung erfolgreich ohne Fehler abgeschlossen wurde.
Öffnen Sie nach Abschluss der Registrierung das Snap-In "Zertifizierungsstelle".
Klicken Sie in der Konsolenstruktur auf Ausgestellte Zertifikate.
Suchen Sie den Eintrag für das soeben ausgestellte Zertifikat, und fügen Sie die Spalte Archivierter Schlüssel zur Snap-In-Anzeigeliste hinzu.
Bestätigen Sie, dass das Wort Ja in der Spalte Archivierter Schlüssel für das soeben ausgestellte Zertifikat angezeigt wird.

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.2016

Category

EventCollection

Enabled

True

Event_ID

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

Active Directory-Zertifikatdienst: Schlüsselarchivierung und -wiederherstellung – Anbieter in Registrierung konnte nicht verwendet werden.

Ereignisbeschreibung: {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.86" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">86</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageIDda66f694c2aa435dbbbc3e09e3585e3d"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>