Certifikační služba nemohla vytvořit šifrovací certifikát.
Služba AD CS (Active Directory Certificate Services) vyžaduje pro archivaci klíčů certifikáty agenta obnovení klíčů, certifikáty pro výměnu (XCHG) a klíče. Funkce certifikátů agenta obnovení klíčů, certifikátů XCHG a zprostředkovatelů kryptografických služeb (CSP) potřebných k jejich vytvoření je nepostradatelná pro infrastrukturu veřejných klíčů.
Použijte zprostředkovatele kryptografických služeb, který umožňuje archivaci a obnovení klíčů
Při řešení problémů způsobených zprostředkovateli kryptografických služeb, softwarovou komponentou provádějící šifrování a úlohami souvisejícími s vytvářením šifrovacího certifikátu možná nebude možné použít nástroje pro správu. Následující úlohy však mohou poskytnout diagnostické informace, které řešení napomohou:
Zjistěte a otestujte svého zprostředkovatele kryptografických služeb.
Pokud budete mít i nadále problémy a používáte jiného zprostředkovatele, než společnost Microsoft, obraťte se na dodavatele s žádostí o poskytnutí informací pro řešení problému.
Můžete rovněž resetovat výchozího zprostředkovatele šifrovacího klíče, ale v tomto případě bude rovněž nutné odvolat aktuální výměnný certifikát CA, aby mohl být vydán nový certifikát založený na novém zprostředkovateli.
Pokud budete mít i nadále problémy a používáte zprostředkovatele společnosti Microsoft, obraťte se na oddělení služeb zákazníkům a zákaznické podpory společnosti Microsoft.
Zjistěte a otestujte zprostředkovatele kryptografických služeb
Abyste mohli provést tento postup, musíte mít oprávnění pro správu certifikační autority, nebo musíte mít přiděleno příslušné oprávnění.
Postup zjišťování a testování používaného zprostředkovatele kryptografických služeb:
Otevřete okno příkazového řádku.
Zadejte příkaz certutil -getreg ca\EncryptionCSP a stiskněte klávesu ENTER.
Zadejte certutil -csp <název_zprostředkovatele> -csptest a stiskněte ENTER. Nahraďte název zprostředkovatele zprostředkovatelem označeným ve výstupu v kroku 2.
Pokud používáte jiného zprostředkovatele kryptografických služeb, než společnost Microsoft, požádejte o pomoc dodavatele. V opačném případě se obraťte na oddělení služeb zákazníkům a zákaznické podpory společnosti Microsoft.
Resetujte výchozího zprostředkovatele šifrovacího klíče
Abyste mohli provést tento postup, musíte být členem místní skupiny Správci, nebo musíte mít přiděleno příslušné oprávnění.
Certifikační autoritu (CA) lze nakonfigurovat tak, aby pro šifrovací certifikáty používala výchozího zprostředkovatele společnosti Microsoft, nastavením následujícího klíče registru na zprostředkovatele úložiště klíčů společnosti Microsoft.
Poznámka: Bude zřejmě nutné odvolat aktuální výměnný certifikát CA, pokud takový existuje, aby mohl být vydán nový certifikát založený na novém zprostředkovateli. Poté restartujte certifikační autoritu.
Postup úpravy nakonfigurovaného zprostředkovatele šifrovacího klíče:
Upozornění: Nesprávné úpravy registru mohou vážně poškodit počítač. Před provedením změn v registru byste měli zálohovat veškerá hodnotná data.
Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, zadejte příkaz regedit a stiskněte klávesu ENTER.
Přejděte na HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\název_CA\EncryptionCSP\Provider.
Změňte uvedenou hodnotu na Zprostředkovatel úložiště klíčů společnosti Microsoft.
Otevřete modul snap-in Certifikační autorita.
Ve stromu konzoly klikněte na položku Vystavené certifikáty.
V podokně podrobností vyberte výměnný certifikát CA.
V nabídce Akce přesuňte ukazatel na položku Všechny úlohy a klikněte na Odvolat certifikát.
Vyberte důvod odvolání certifikátu, v případě potřeby nastavte čas odvolání a klikněte na Ano.
Restartujte certifikační autoritu.
Postup kontroly správné funkce archivace a obnovení klíčů:
Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na možnost Certifikační autorita.
Ve stromu konzoly klikněte pravým tlačítkem na certifikační autoritu a poté na Vlastnosti.
Klikněte na kartu Agenti obnovení.
Zkontrolujte, zda jsou všechny certifikáty agenta obnovování klíčů uvedeny ve stavu Platné.
V kontejneru Šablony certifikátů zkontrolujte, zda je na kartě Vyřízení žádosti u šifrovacího certifikátu nakonfigurována volba Archivovat privátní klíč šifrování subjektu.
Otevřete modul snap-in Certifikáty pro uživatelský účet, který má oprávnění k zápisu certifikátu založeného na této šabloně certifikátu.
Ve stromu konzoly klikněte pravým tlačítkem na možnost Osobní, přesuňte ukazatel na možnost Všechny úlohy a kliknutím na Požádat o nový certifikát spusťte Průvodce zápisem certifikátu.
Zapište certifikát založený na šifrovací šabloně a zkontrolujte, zda zápis proběhl úspěšně a nejsou hlášeny chyby.
Po dokončení zápisu otevřete modul snap-in Certifikační autorita.
Ve stromu konzoly klikněte na položku Vystavené certifikáty.
Vyhledejte záznam právě vystaveného certifikátu a do seznamu zobrazení modulu snap-in přidejte sloupec Archivovaný klíč.
Zkontrolujte, zda se pro právě vystavený certifikát zobrazí ve sloupci Archivovaný klíč slovo Ano.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 96 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.96" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">96</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID27d39862f8064e99a11ea94a897ce9b1"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>