Usługi certyfikatów nie mogą użyć podanego dostawcy kluczy szyfrowania.
Obsługa archiwizacji kluczy przez Usługi certyfikatów Active Directory (AD CS) wymaga certyfikatów agenta odzyskiwania kluczy, certyfikatów wymiany (XCHG) oraz kluczy. Funkcjonowanie certyfikatów agenta odzyskiwania kluczy i certyfikatów XCHG oraz niezbędnych do ich tworzenia dostawców usług kryptograficznych (CSP) ma krytyczne znaczenie dla infrastruktury kluczy publicznych.
Zastosowanie dostawcy usług kryptograficznych obsługującego archiwizację i odzyskiwanie kluczy
Problemy powodowane przez dostawców usług kryptograficznych, czyli składniki oprogramowania wykonujące szyfrowanie i inne zadania związane z generowaniem szyfrowanych certyfikatów, nie zawsze da się rozwiązać z użyciem narzędzi administracyjnych. Następujące zadania mogą jednak dostarczyć informacji diagnostycznych wspomagających proces rozwiązywania:
Zidentyfikuj używanego dostawcę usług kryptograficznych i sprawdź jego działanie.
Jeśli problemy nadal występują, a używany jest dostawca firmy innej niż Microsoft, skontaktuj się z producentem, aby uzyskać pomoc w rozwiązywaniu problemów.
Można też przywrócić domyślnego dostawcę kluczy szyfrowania, ale będzie to dodatkowo wymagać odwołania aktualnego certyfikatu wymiany urzędu certyfikacji, aby został wystawiony nowy certyfikat z użyciem nowego dostawcy.
Jeśli używany jest dostawca firmy Microsoft, a problemy nadal występują, skontaktuj się z działem obsługi klienta i pomocy technicznej firmy Microsoft.
Identyfikowanie i testowanie dostawcy usług kryptograficznych
Aby wykonać tę procedurę, trzeba posiadać uprawnienie Zarządzaj urzędem certyfikacji lub otrzymać odpowiednie uprawnienia poprzez oddelegowanie.
Aby zidentyfikować i przetestować używanego dostawcę usług kryptograficznych:
Otwórz okno wiersza polecenia.
Wpisz polecenie certutil -getreg ca\EncryptionCSP i naciśnij klawisz ENTER.
Wpisz polecenie certutil -csp <nazwa_dostawcy> -csptest i naciśnij klawisz ENTER. Zastąp ciąg providername nazwą dostawcy ustaloną w punkcie 2.
Jeśli używany jest dostawca usług kryptograficznych firmy innej niż Microsoft, skontaktuj się z producentem, aby uzyskać pomoc. W przeciwnym razie skontaktuj się z działem obsługi klienta i pomocy technicznej firmy Microsoft.
Przywracanie domyślnego dostawcy kluczy szyfrowania
Aby móc wykonać tę procedurę, musisz należeć do lokalnej grupy Administratorzy lub mieć odpowiednie uprawnienia oddelegowane.
Aby skonfigurować używanie przez urząd certyfikacji (CA) domyślnego dostawcy firmy Microsoft do obsługi szyfrowania certyfikatów, ustaw wartość następującego klucza rejestru na Microsoft Software Key Storage Provider.
Uwaga: może być konieczne odwołanie bieżącego certyfikatu wymiany urzędu certyfikacji (jeśli istnieje), aby został wystawiony nowy certyfikat z użyciem nowego dostawcy. Następnie uruchom ponownie urząd certyfikacji.
Aby zmodyfikować skonfigurowanego dostawcę kluczy szyfrowania:
Uwaga: Nieprawidłowe edytowanie rejestru może doprowadzić do poważnego uszkodzenia systemu. Przed dokonaniem zmian w rejestrze należy utworzyć kopię zapasową ważnych danych.
Na komputerze hostującym urząd certyfikacji kliknij przycisk Start, wpisz polecenie regedit i naciśnij klawisz ENTER.
Przejdź do klucza HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Nazwa urzędu certyfikacji\EncryptionCSP\Provider.
Zmień wyświetlaną wartość na Microsoft Software Key Storage Provider.
Otwórz przystawkę Urząd certyfikacji.
W drzewie konsoli kliknij pozycję Wystawione certyfikaty.
W okienku szczegółów wybierz certyfikat wymiany urzędu certyfikacji.
W menu Akcja wskaż polecenie Wszystkie zadania i kliknij polecenie Odwołaj certyfikat.
Wybierz przyczynę odwołania certyfikatu, w razie potrzeby zmień czas odwołania i kliknij przycisk Tak.
Ponownie uruchom urząd certyfikacji.
Aby upewnić się, że archiwizacja i odzyskiwanie kluczy działają poprawnie:
Na komputerze udostępniającym urząd certyfikacji kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Urząd certyfikacji.
W drzewie konsoli kliknij prawym przyciskiem myszy nazwę urzędu certyfikacji (CA), a następnie kliknij polecenie Właściwości.
Kliknij kartę Agenci odzyskiwania.
Upewnij się, że wszystkie certyfikaty agentów odzyskiwania klucza są wyświetlane ze stanem Prawidłowy.
Upewnij się, że w kontenerze Szablony certyfikatów istnieje certyfikat szyfrowania z opcją Archiwizuj klucz prywatny szyfrowania podmiotu skonfigurowaną na karcie Obsługiwanie żądań.
Otwórz przystawkę certyfikatów dla konta użytkownika posiadającego uprawnienia do rejestracji certyfikatu na podstawie tego szablonu certyfikatu.
W drzewie konsoli kliknij prawym przyciskiem myszy opcję Osobiste, wskaż polecenie Wszystkie zadania i kliknij polecenie Żądaj nowego certyfikatu, aby uruchomić Kreatora rejestracji certyfikatów.
Zarejestruj certyfikat na podstawie szablonu szyfrowania i upewnij się, że rejestracja została ukończona pomyślnie i nie zostały zgłoszone żadne błędy.
Po zakończeniu rejestracji otwórz przystawkę Urząd certyfikacji.
W drzewie konsoli kliknij opcję Wystawione certyfikaty.
Zlokalizuj wpis wystawionego właśnie certyfikatu i dodaj kolumnę Zarchiwizowany klucz do listy wyświetlania przystawki.
Upewnij się, że w kolumnie Zarchiwizowany klucz dla wystawionego właśnie certyfikatu jest widoczna wartość Tak.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 87 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.87" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">87</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID139bfe1417204092b353d5efab951f6f"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>