Certifikační služba zaznamenala chybu při načítání certifikátů agenta obnovení klíčů.
Služba AD CS (Active Directory Certificate Services) vyžaduje pro archivaci klíčů certifikáty agenta obnovení klíčů, certifikáty pro výměnu (XCHG) a klíče. Funkce certifikátů agenta obnovení klíčů, certifikátů XCHG a zprostředkovatelů kryptografických služeb (CSP) potřebných k jejich vytvoření je nepostradatelná pro infrastrukturu veřejných klíčů.
Nakonfigurujte správný počet certifikátů agenta obnovování klíčů
Zkontrolujte, zda má certifikační autorita (CA) k dispozici správný počet platných certifikátů agenta obnovování klíčů. Počet potřebných certifikátů agentů obnovení klíčů se nastavuje na kartě Agenti obnovení v modulu snap-in Certifikační autorita.
Abyste mohli provést tento postup, musíte mít oprávnění pro správu certifikační autority, nebo musíte mít přiděleno příslušné oprávnění.
Postup zjištění konkrétních problémů s certifikáty agenta obnovení klíčů:
Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na možnost Certifikační autorita.
Klikněte pravým tlačítkem na název certifikační autority a klikněte na Vlastnosti.
Klikněte na kartu Agenti obnovení.
Zkontrolujte sloupec stavu certifikátů agenta obnovení klíčů. Je-li jeden nebo několik certifikátů označeno jako Vypršela platnost nebo Neplatný, odeberte prošlé nebo neplatné certifikáty agenta obnovení klíčů a zapište a přiřaďte nové certifikáty.
Pokud u žádného z těchto certifikátů nezjistíte jakýkoli problém, exportujte každý certifikát do souboru s příponou .cer, otevřete okno příkazového řádku a pro každý soubor proveďte následující příkaz, kterým se ověřuje platnost a stav odvolání: certutil -verify a pak stiskněte ENTER.
Případně, pokud máte méně platných certifikátů agenta obnovení klíčů, než je určeno, můžete rovněž přejít na kartu Agenti obnovení a zmenšete počet požadovaných agentů obnovení klíčů.
Další informace viz http://go.microsoft.com/fwlink/?LinkID=95698.
Postup kontroly správné funkce archivace a obnovení klíčů:
Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na možnost Certifikační autorita.
Ve stromu konzoly klikněte pravým tlačítkem na certifikační autoritu a poté na Vlastnosti.
Klikněte na kartu Agenti obnovení.
Zkontrolujte, zda jsou všechny certifikáty agenta obnovování klíčů uvedeny ve stavu Platné.
V kontejneru Šablony certifikátů zkontrolujte, zda je na kartě Vyřízení žádosti u šifrovacího certifikátu nakonfigurována volba Archivovat privátní klíč šifrování subjektu.
Otevřete modul snap-in Certifikáty pro uživatelský účet, který má oprávnění k zápisu certifikátu založeného na této šabloně certifikátu.
Ve stromu konzoly klikněte pravým tlačítkem na možnost Osobní, přesuňte ukazatel na možnost Všechny úlohy a kliknutím na Požádat o nový certifikát spusťte Průvodce zápisem certifikátu.
Zapište certifikát založený na šifrovací šabloně a zkontrolujte, zda zápis proběhl úspěšně a nejsou hlášeny chyby.
Po dokončení zápisu otevřete modul snap-in Certifikační autorita.
Ve stromu konzoly klikněte na položku Vystavené certifikáty.
Vyhledejte záznam právě vystaveného certifikátu a do seznamu zobrazení modulu snap-in přidejte sloupec Archivovaný klíč.
Zkontrolujte, zda se pro právě vystavený certifikát zobrazí ve sloupci Archivovaný klíč slovo Ano.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 98 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.98" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">98</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID1174ddb52fa84d038200f297c5aa47dc"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>