키 복구 에이전트 인증서를 로드하는 동안 인증서 서비스에서 오류가 발생했습니다.
키 보관을 지원하려면 AD CS(Active Directory 인증서 서비스)에는 키 복구 에이전트 인증서, 교환(XCHG) 인증서 및 키가 필요합니다. 키 복구 에이전트 인증서, XCHG 인증서 및 인증서를 만드는 데 필요한 CSP(암호화 서비스 공급자)의 작용은 공개 키 인프라에 중요합니다.
올바른 개수의 키 복구 에이전트 인증서 구성
CA(인증 기관)에 올바른 개수의 유효한 키 복구 에이전트 인증서를 사용할 수 있는지 확인합니다. 필요한 키 복구 에이전트 인증서 개수는 인증 기관 스냅인의 복구 에이전트 탭에서 설정합니다.
이러한 절차를 수행하려면 CA 관리 권한이 있거나 적절한 권한을 위임받아야 합니다.
키 복구 에이전트 인증서를 사용하여 특정 문제를 식별하려면:
CA를 호스트하는 컴퓨터에서 시작을 클릭하고 관리 도구를 가리킨 다음 인증 기관을 클릭합니다.
CA 이름을 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.
복구 에이전트 탭을 클릭합니다.
키 복구 에이전트 인증서에 해당하는 상태 열을 확인합니다. 하나 이상의 인증서가 만료됨 또는 유효하지 않음으로 식별된 경우 만료되었거나 잘못된 키 복구 에이전트 인증서를 제거하고 새 인증서를 등록하여 할당합니다.
이러한 인증서에서 문제가 발견되지 않으면 각 인증서를 .cer 파일로 내보낸 다음 명령 프롬프트 창을 열고 각 파일에 대해 certutil -verify 명령을 실행하여 유효성 및 해지 상태를 확인하고 <Enter> 키를 누릅니다.
또는 유효한 키 복구 에이전트 인증서 개수가 지정된 것보다 적을 경우에는 복구 에이전트 탭으로 이동하여 필요한 키 복구 에이전트의 개수를 줄일 수도 있습니다.
자세한 내용은 http://go.microsoft.com/fwlink/?LinkID=95698을 참조하세요.
키 보관 및 복구 가 제대로 작동하는지 확인하려면:
CA를 호스트하는 컴퓨터에서 시작을 클릭하고 관리 도구를 가리킨 다음 인증 기관을 클릭합니다.
콘솔 트리에서 CA(인증 기관)의 이름을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
복구 에이전트 탭을 클릭합니다.
모든 키 복구 에이전트 인증서가 유효함으로 표시되어 있는지 확인합니다.
인증서 템플릿 컨테이너에서 암호화 인증서에 요청 처리 탭에서 구성한 주체의 암호화 개인 키 보관 옵션이 있는지 확인합니다.
이 인증서 템플릿을 기반으로 인증서를 등록할 권한이 있는 사용자 계정에 대한 인증서 스냅인을 엽니다.
콘솔 트리에서 개인을 마우스 오른쪽 단추로 클릭하고 모든 작업을 가리킨 다음 새 인증서 요청을 클릭하여 인증서 등록 마법사를 시작합니다.
암호화 템플릿을 기반으로 인증서를 등록하고 등록이 성공적으로 완료되었고 보고된 오류가 없는지 확인합니다.
등록이 완료되면 인증 기관 스냅인을 엽니다.
콘솔 트리에서 발급된 인증서를 클릭합니다.
방금 발급된 인증서에 해당하는 항목을 찾아 보관된 키 열을 스냅인 표시 목록에 추가합니다.
Yes라는 단어가 방금 발급된 인증서에 해당하는 보관된 키 열에 표시되어 있는지 확인합니다.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 98 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.98" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">98</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID1174ddb52fa84d038200f297c5aa47dc"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>