A tanúsítványszolgáltatás nem tudta a megadott szolgáltatót használni a titkosítási kulcsokhoz.
Az Active Directory Tanúsítványszolgáltatásnak kulcs-helyreállítási megbízotti tanúsítványra, cseretanúsítványokra (XCHG) és kulcsokra van szüksége a kulcsarchiválás támogatásához. A kulcs-helyreállítási megbízottak tanúsítványai, a cseretanúsítványok (XCHG) és az ezek létrehozásához szükséges kriptográfiai szolgáltatók működése kritikus fontosságú a nyilvánoskulcs-infrastruktúrákban.
Kulcsarchiválást és -helyreállítást támogató kriptográfiai szolgáltató használata
Előfordulhat, hogy nem lehet a felügyeleti eszközökkel megoldani a problémákat, amelyeket a kriptográfiai szolgáltató okoz, az a szoftverösszetevő, amely a titkosítási és az ahhoz kapcsolódó feladatokat végzi a titkosítási tanúsítvány létrehozásakor. Azonban a következő feladatok diagnosztikai információkat nyújthatnak a megoldási folyamat elősegítéséhez:
A kriptográfiai szolgáltató azonosítása és ellenőrzése.
Ha továbbra is problémákat észlel, és nem a Microsoft vállalattól származó szolgáltatót használ, lépjen kapcsolatba a forgalmazóval a hibaelhárítási információkért.
Lehetősége van visszaállítani a rendszert az alapértelmezett titkosításikulcs-szolgáltatóra, de ehhez vissza kell vonnia az aktuális hitelesítésszolgáltatói cseretanúsítványt, hogy ki lehessen állítani az új szolgáltatón alapuló tanúsítványt.
Ha továbbra is problémákat tapasztal, és a Microsoft vállalattól származó szolgáltatót használ, lépjen kapcsolatba a Microsoft ügyfél- és támogatási szolgálatával.
Kriptográfiai szolgáltató azonosítása és ellenőrzése
Az eljárást akkor hajthatja végre, ha rendelkezik hitelesítésszolgáltató-kezelési engedéllyel, vagy delegálás útján megkapta a megfelelő jogosultságokat.
A használatban lévő kriptográfiai szolgáltató azonosításához és ellenőrzéséhez hajtsa végre a következő műveleteket:
Nyisson meg egy parancsablakot.
Írja be a certutil -getreg ca\EncryptionCSP parancsot, és nyomja le az ENTER billentyűt.
Írja be a certutil -csp <szolgáltatónév> parancsot, majd nyomja le az ENTER billentyűt. Cserélje le a szolgáltatónevet a 2. lépés kimenetében azonosított szolgáltatóval.
Ha nem a Microsoft vállalattól származó kriptográfiai szolgáltatót használ, segítségért forduljon a forgalmazóhoz. Egyéb esetben vegye fel a kapcsolatot a Microsoft ügyfél- és támogatási szolgálatával.
Az alapértelmezett titkosításikulcs-szolgáltató visszaállítása
A műveletet akkor hajthatja végre, ha a helyi Rendszergazdák csoport tagja, vagy delegálás útján megkapta a megfelelő jogosultságokat.
Konfigurálhatja úgy a hitelesítésszolgáltatót, hogy az alapértelmezett Microsoft szolgáltatót használja a titkosítási tanúsítványokhoz, ha a következő beállításkulcsot Microsoft Software Key Storage Provider értékre állítja.
Megjegyzés: Ehhez lehetséges, hogy vissza kell vonnia az aktuális hitelesítésszolgáltatói cseretanúsítványt, ha létezik ilyen, hogy ki lehessen állítani az új szolgáltatón alapuló tanúsítványt. Ezután indítsa újra a hitelesítésszolgáltatót.
A konfigurált titkosításikulcs-szolgáltató módosításához hajtsa végre a következő műveleteket:
Figyelem: A beállításjegyzék nem megfelelő szerkesztése súlyos rendszerhibát okozhat. A beállításjegyzék módosítása előtt készítsen biztonsági másolatot a számítógép fontos adatairól.
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, írja be a regedit parancsot, majd nyomja le az ENTER billentyűt.
Lépjen a HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\hitelesítésszolgáltató neve\EncryptionCSP\Provider mappába.
Módosítsa a meglévő értéket Microsoft Software Key Storage Provider értékre.
Nyissa meg a Hitelesítésszolgáltató beépülő modult.
A konzolfán kattintson a Kiállított tanúsítványok elemre.
A részleteket tartalmazó panelen válassza ki a hitelesítésszolgáltatói cseretanúsítványt.
Mutasson a Művelet menü Minden feladat pontjára, majd kattintson a Tanúsítvány visszavonása parancsra.
Jelölje ki a tanúsítvány visszavonásának okát, igény szerint állítsa be a visszavonás idejét, majd kattintson az Igen gombra.
Indítsa újra a hitelesítésszolgáltatót.
A kulcsarchiválás és -helyreállítás megfelelő működésének ellenőrzése:
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, mutasson a Felügyeleti eszközök elemre, és kattintson a Hitelesítésszolgáltató lehetőségre.
A konzolfán kattintson a jobb gombbal az hitelesítésszolgáltató nevére, majd kattintson a Tulajdonságok lehetőségre.
Kattintson a Helyreállítási megbízottak fülre.
Ellenőrizze, hogy a kulcs-helyreállítási megbízottak tanúsítványai Érvényes állapotúak-e a listában.
A tanúsítványsablonok tárolójában győződjön meg arról, hogy a titkosítási tanúsítványban konfigurálva van A tulajdonos titkos kulcsának archiválása lehetőség a Kérelmek kezelése lapon.
Nyissa meg a felhasználói fiókhoz tartozó Tanúsítványok beépülő modult, amely rendelkezik a tanúsítványsablonon alapuló tanúsítványok igényléséhez szükséges engedélyekkel.
A Tanúsítvány igénylése varázsló elindításához a konzolfán kattintson a jobb gombbal a Személyes elemre, mutasson a Minden feladat menüpontra, majd kattintson az Új tanúsítvány kérése lehetőségre.
Igényeljen egy tanúsítványt a titkosítási sablon alapján, és ellenőrizze, hogy az igénylés sikeresen befejeződik-e és nincs-e jelentett hiba.
Az igénylés befejeződése után nyissa meg a Hitelesítésszolgáltató beépülő modult.
A konzolfán kattintson a Kiállított tanúsítványok elemre.
Keresse meg a legutóbb kiállított tanúsítványhoz tartozó bejegyzést, és adja hozzá az Archivált kulcs oszlopot a beépülő modul megjelenítési listájához.
Győződjön meg arról, hogy az Igen érték jelenik meg az Archivált kulcs oszlopban a legutóbb kiállított tanúsítvány esetében.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 86 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.86" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">86</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDda66f694c2aa435dbbbc3e09e3585e3d"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>