Службам сертификации не удалось создать сертификат шифрования.
Для поддержки архивации ключей службам сертификации Active Directory требуются сертификаты агента восстановления ключей, сертификаты обмена и ключи. Работа сертификатов агента восстановления ключей, сертификатов обмена и поставщиков служб шифрования, необходимых для их создания, играет важную роль в инфраструктуре открытого ключа.
Воспользуйтесь поставщиком служб шифрования, который поддерживает архивацию и восстановление ключей.
Использование средств администрирования может быть невозможно для разрешения проблем, вызванных поставщиками служб шифрования — компонентами программного обеспечения, выполняющими шифрование и задачи, связанные с формированием сертификатов шифрования. Однако перечисленные ниже задачи могут помочь в получении сведений диагностики для решения проблем.
Определение и проверка поставщика служб шифрования.
Если проблемы устранить не удается, а используемый поставщик служб шифрования предоставлен сторонним разработчиком, обратитесь к поставщику, чтобы получить сведения об устранении неполадок.
Также можно сбросить параметры для восстановления поставщика ключа шифрования по умолчанию, однако для этого потребуется отозвать текущий сертификат обмена ЦС, чтобы новый сертификат мог быть выдан на основе нового поставщика.
Если проблемы устранить не удается, а используемый поставщик разработан компанией Майкрософт, обратитесь в службу поддержки пользователей Майкрософт.
Идентификация и проверка поставщика служб шифрования
Для выполнения данной процедуры необходимо иметь разрешение на управление ЦС либо обладать соответствующими делегированными полномочиями.
Чтобы определить и проверить используемого поставщика служб шифрования, выполните следующие действия.
Откройте окно командной строки.
Введите "certutil -getreg ca\EncryptionCSP" и нажмите ВВОД.
Введите certutil -csp <providername> -csptest и нажмите ВВОД. Замените "providername" поставщиком, указанным в выходных данных шага 2.
При использовании поставщика служб шифрования стороннего разработчика обратитесь за помощью к поставщику. В противном случае обратитесь в службу поддержки пользователей Майкрософт.
Восстановление поставщика ключа шифрования по умолчанию
Чтобы выполнить эту процедуру, необходимо быть членом локальной группы "Администраторы" либо обладать соответствующими делегированными полномочиями.
В центре сертификации (ЦС) можно настроить использование поставщика Microsoft по умолчанию для сертификатов шифрования, задав для следующего ключа реестра значение "Microsoft Software Key Storage Provider".
Примечание: Может понадобиться отозвать текущий сертификат обмена ЦС, если таковой имеется, чтобы выдать новый на основе нового поставщика. Затем перезапустите ЦС.
Для изменения настроенного поставщика ключа шифрования выполните следующие действия.
Внимание! Неправильное редактирование реестра может значительно повредить систему. Прежде чем вносить изменения в реестр, сделайте резервные копии ценных данных.
На компьютере, на котором размещен ЦС, нажмите кнопку "Пуск", введите "regedit" и нажмите клавишу ВВОД.
Перейдите к разделу HKLM\СИСТЕМА\ТекущийНаборПараметров\Службы\СлужбыСертификатов\Конфигурация\имя ЦС\ПоставщикСлужбШифрования\Поставщик.
Измените указанное значение на "Microsoft Software Key Storage Provider".
Откройте оснастку "Центр сертификации".
В дереве консоли щелкните "Выданные сертификаты".
В области сведений выберите сертификат обмена ЦС.
В меню "Действие" выберите "Все задачи" и щелкните "Отозвать сертификат".
Выберите причину отзыва сертификата, при необходимости настройте время отзыва, а затем нажмите кнопку "Да".
Перезапустите ЦС.
Чтобы подтвердить правильную работу архивации и восстановления ключей, выполните следующие действия.
На компьютере, на котором размещен ЦС, нажмите кнопку Пуск, выберите Администрирование и щелкните Центр сертификации.
В дереве консоли щелкните правой кнопкой мыши имя центра сертификации (ЦС), а затем щелкните Свойства.
Щелкните вкладку Агенты восстановления.
Подтвердите, что все перечисленные сертификаты агентов восстановления отмечены как Действительный.
В разделе "Контейнер шаблонов сертификатов" подтвердите наличие у сертификата шифрования функции Архивировать закрытый ключ субъекта, настраиваемой на вкладке Обработка запроса.
Откройте оснастку "Сертификаты" для учетной записи пользователя, обладающего разрешениями на регистрацию сертификата на основе этого шаблона сертификата.
В дереве консоли щелкните правой кнопкой мыши Личное, выберите Все задачи и щелкните Запросить новый сертификат, чтобы запустить мастер регистрации сертификатов.
Зарегистрируйте сертификат на основе шаблона шифрования и подтвердите успешное завершение регистрации и отсутствие сообщений об ошибках.
По завершении регистрации откройте оснастку "Центр сертификации".
В дереве консоли щелкните Выданные сертификаты.
Найдите запись о выданном сертификате и добавьте столбец Архивированный ключ в список отображения оснастки.
Убедитесь в том, что в столбце Архивированный ключ для выданного сертификата появилась пометка Да.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 96 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.96" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">96</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID27d39862f8064e99a11ea94a897ce9b1"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>