Certifikattjänster kunde inte använda den angivna leverantören för krypteringsnycklar.
Active Directory-certifikattjänster (AD CS) kräver ett certifikat för nyckelåterställningsagenten, utväxlingscertifikat (XCHG) och nycklar för att stödja nyckel för arkivering. Det är av största vikt för PKI att certifikat för nyckelåterställningsagent, XCHG-certifikat och de kryptografiproviders som behövs för att skapa dem fungerar.
Använd en kryptografiprovider som stöder nyckel för arkivering och återställning
Ibland går det inte att använda administrationsverktyg för att lösa problem som har orsakats av kryptografiproviders, programvaran som utför kryptering och relaterade uppgifter för generering av krypteringscertifikat. Däremot kan följande uppgifter visa diagnostisk information och bidra till problemlösningsprocessen:
Identifiera och testa din krypteringsleverantör.
Om du har problem i fortsättningen och använder en icke-Microsoft-leverantör kontaktar du säljaren för felsökningsinformation.
Du kan också återställa standardleverantören av krypteringsnyckeln men du måste även återkalla aktuellt utbytescertifikat för certifikatutfärdaren så att ett nytt, baserat på den nya leverantören, utfärdas.
Om du har problem i fortsättningen och använder en Microsoft-leverantör kontaktar du Microsofts kundservice och support.
Identifiera och testa en krypteringsleverantör.
För att kunna utföra denna procedur måste du ha behörighet att hantera certifikatutfärdare, eller ha tilldelats lämplig auktoritet.
Gör så här för att identifiera och testa krypteringsleverantören du använder:
Öppna ett kommandotolkfönster.
Skriv certutil -getreg ca\EncryptionCSPoch tryck på RETUR.
Skriv certutil -csp <providername> -csptest och tryck på RETUR. Ersätt providernamn med den provider som identifieras i utdata för steg 2.
Kontakta säljaren för hjälp om du använder en annan krypteringsleverantör än Microsoft. I annat fall kontaktar du Microsofts kundservice och support.
Återställ standardleverantören av krypteringsnyckeln
För att utföra dessa procedurer måste du vara medlem i de lokala administratörerna, eller ha delegerats motsvarande behörighet.
Du kan konfigurera certifikatutfärdaren (CA) så att Microsofts standardleverantören av krypteringscertifikat används genom att ställa in följande registernyckel till Microsoft-programvaruprovidern för nyckellagring.
Obs! Det kan hända att du måste återkalla aktuellt utbytescertifikat för certifikatutfärdare, om ett sådant finns, så att det nya som baseras på den nya leverantören utfärdas. Starta sedan om certifikatutfärdaren (CA).
Ändra en konfigurerad leverantör av krypteringsnyckel:
Varning: Systemet kan skadas om du redigerar registret på felaktigt sätt. Säkerhetskopiera viktig information på datorn innan du ändrar registret.
Klicka på Start, skriv regedit och tryck på RETUR på datorn som kör certifikatutfärdaren.
Gå till HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\CA Name\EncryptionCSP\Provider.
Ändra värdet som visas till Microsoft-programvaruprovidern för nyckellagring.
Öppna snapin-modulen för certifikatutfärdare.
Klicka på Utfärdade certifikat i konsolträdet.
Välj utbyte av certifikatutfärdaren i informationsfönstret.
Peka på Alla uppgifter i Åtgärdsmenyn och klicka på Återkalla certifikat.
Välj skäl till att återkalla certifikatet, justera tiden för återkallningen om det behövs och klicka sedan på Ja.
Starta om certifikatutfärdaren (CA).
Bekräfta att nyckel för arkivering och återställning fungerar korrekt:
Klicka på Start på datorn som kör certifikatutfärdaren, peka på Administrationsverktyg och klicka på Certifikatutfärdare.
Högerklicka på namnet för certifikatutfärdaren (CA) i konsolträdet och klicka sedan på Egenskaper.
Klicka på fliken Återställningsagenter.
Bekräfta att certifikaten för alla återställningsagenter visas som Giltig.
Bekräfta att ett krypteringscertifikat i behållaren för certifikatmallar har alternativet Arkivera subjektets privata krypteringsnyckel konfigurerat på fliken Hantering av begäranden.
Öppna snapin-modulen för certifikat för ett användarkonto som har behörighet att registrera för ett certifikat baserat på den här certifikatmallen.
Högerklicka på Personlig, peka på Alla uppgifter och klicka på Begär nytt certifikat i konsolträdet för att starta guiden Registrera certifikat.
Registrera för ett certifikat baserat på krypteringsmallen och bekräfta att registreringen slutförts och att inga fel har rapporterats.
Öppna snapin-modulen för certifikatutfärdare när registreringen är slutförd.
Klicka på Utfärdade certifikat i konsolträdet.
Lokalisera posten för certifikatet som utfärdades och lägg till kolumnen Arkiverad nyckel i visningslistan för snapin-modulen.
Bekräfta att ordet Ja visas i kolumnenArkiverad nyckel för det utfärdade certifikatet.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 86 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.86" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">86</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDda66f694c2aa435dbbbc3e09e3585e3d"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>