Sertifika Hizmetleri, şifreleme anahtarları için belirtilen sağlayıcıyı kullanamadı.
Active Directory Sertifika Hizmetleri (AD CS), anahtar arşivini desteklemek üzere anahtar kurtarma aracısı sertifikalarını, değişim (XCHG) sertifikalarını ve anahtarları gerektirir. Oluşturulmaları için gereken anahtar kurtarma aracısı sertifikaları, XCHG sertifikaları ve şifreleme hizmet sağlayıcıları (CSP'ler) çalışması, ortak anahtar altyapısı için kritik niteliktedir.
Anahtar arşivini ve kurtarmayı destekleyen bir şifreleme hizmet sağlayıcısı kullanın
Şifreleme işlemini ve şifreleme sertifikası oluşturmaya yönelik ilgili görevleri gerçekleştiren yazılım bileşeni olan şifreleme sağlayıcılarından kaynaklanan sorunları çözmek için yönetimsel araçlar kullanılamayabilir. Ancak, aşağıdaki görevler, çözüm işlemine yardımcı olmak üzere tanılama bilgileri sunabilir:
Şifreleme sağlayıcınızı tanımlayın ve sınayın.
Sorun yaşamaya devam ederseniz ve Microsoft olmayan bir sağlayıcı kullanıyorsanız, sorun giderme bilgileri için satıcıya başvurun.
Ayrıca, varsayılan şifreleme anahtarı sağlayıcısına sıfırlama işlemini de gerçekleştirebilirsiniz, ancak yeni sağlayıcıyı temel alan yeni sertifikanın verilebilmesi için geçerli CA Değişimi sertifikasını da iptal etmeniz gerekir.
Sorun yaşamaya devam ederseniz ve bir Microsoft sağlayıcısı kullanıyorsanız, Microsoft Müşteri Hizmetleri ve Desteği'ne başvurun.
Şifreleme sağlayıcısını tanımlayın ve sınayın
Bu yordamı gerçekleştirmek için CA'yı Yönet izinlerine sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.
Kullandığınız şifreleme sağlayıcısını tanımlamak ve sınamak için:
Bir komut istemi penceresi açın.
certutil -getreg ca\EncryptionCSP yazın ve ENTER tuşuna basın.
certutil -csp <providername> -csptest yazın ve ENTER tuşuna basın. providername ifadesini 2. adımın çıktısında tanımlanan sağlayıcı ile değiştirin.
Microsoft olmayan bir şifreleme sağlayıcısı kullanıyorsanız, yardım için satıcıya başvurun. Aksi takdirde, Microsoft Müşteri Hizmetleri ve Desteği'ne başvurun.
Varsayılan şifreleme anahtarı sağlayıcısını sıfırlayın
Bu yordamı gerçekleştirmek için yerel Administrators grubunun üyesi olmanız veya uygun yetkinin size verilmiş olması gerekir.
Aşağıdaki kayıt defteri anahtarını Microsoft Software Key Storage Provider olarak ayarlayarak, sertifika yetkilisini (CA) şifreleme sertifikaları için varsayılan Microsoft sağlayıcısını kullanmak üzere yapılandırabilirsiniz.
Not: Yeni sağlayıcıyı temel alan yeni bir sertifikanın verilmesi için, varsa, geçerli CA Değişimi sertifikasını iptal etmeniz gerekebilir. Ardından, CA'yı yeniden başlatın.
Yapılandırılan şifreleme anahtarı sağlayıcısını değiştirmek için:
Dikkat: Kayıt defterini yanlış şekilde düzenlemek sisteminize önemli ölçüde hasar verebilir. Kayıt defterinde değişiklik yapmadan önce değerli verilerinizin yedeğini almanız gerekir.
CA'yı barındıran bilgisayar üzerinde, Başlat'a tıklayın, regedit yazın ve sonra ENTER tuşuna basın.
HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\CA Adı\EncryptionCSP\Provider konumuna gidin.
Listelenen değeri Microsoft Software Key Storage Provider olarak değiştirin.
Sertifika Yetkilisi ek bileşenini açın.
Konsol ağacında Verilen Sertifikalar'a tıklayın.
Ayrıntılar bölmesinde, CA Değişimi sertifikasını seçin.
Eylem menüsünde, Tüm Görevler'in üzerine gidin ve Sertifikayı İptal Et'e tıklayın.
Sertifikanın iptal edilme nedenini seçin, gerekiyorsa iptal zamanını ayarlayın ve sonra Evet'e tıklayın.
CA'yı yeniden başlatın.
Anahtar arşivi ve kurtarmanın doğru şekilde çalıştığını onaylamak için:
CA'yı barındıran bilgisayarda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Sertifika Yetkilisi'ne tıklayın.
Konsol ağacında, sertifika yetkilisinin (CA) adına sağ tıklayın ve sonra Özellikler'e tıklayın.
Kurtarma Aracıları sekmesine tıklayın.
Tüm anahtar kurtarma aracısı sertifikalarının Geçerli olarak listelendiğini onaylayın.
Sertifika Şablonları kapsayıcısında, İstek İşleme sekmesinde bir şifreleme sertifikasının Konunun şifreleme özel anahtarını arşivle seçeneğinin yapılandırılmış olduğunu onaylayın.
Bu sertifika şablonunu temel alan bir sertifika için kaydetme izinlerine sahip olan bir kullanıcı hesabına yönelik Sertifikalar ek bileşenini açın.
Konsol ağacında, Kişisel'e sağ tıklayın, Tüm Görevler'in üzerine gidin ve Sertifika Kaydı sihirbazını başlatmak için Yeni Sertifika İste öğesine tıklayın.
Şifreleme şablonunu temel alan bir sertifikayı kaydedin ve kaydın başarıyla tamamlandığını ve herhangi bir hata bildirilmediğini onaylayın.
Kayıt tamamlandığında, Sertifika Yetkilisi ek bileşenini açın.
Konsol ağacında Verilen Sertifikalar'a tıklayın.
Yeni verilen sertifikaya yönelik girişi bulun ve ek bileşen görüntüleme listesine Arşivlenen Anahtar sütununu ekleyin.
Yeni verilen sertifikaya yönelik Arşivlenen Anahtar sütununda Evet sözcüğünün göründüğünü onaylayın.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 87 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.87" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">87</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID139bfe1417204092b353d5efab951f6f"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>