Certifikattjänster påträffade ett fel vid inläsning av certifikat för nyckelåterställningsagenten.
Active Directory-certifikattjänster (AD CS) kräver ett certifikat för nyckelåterställningsagenten, utväxlingscertifikat (XCHG) och nycklar för att stödja nyckel för arkivering. Det är av största vikt för PKI att certifikat för nyckelåterställningsagent, XCHG-certifikat och de kryptografiproviders som behövs för att skapa dem fungerar.
Konfigurera korrekt antal certifikat för nyckelåterställningsagent
Kontrollera att korrekt antal certifikat för nyckelåterställningsagent finns tillgängliga för certifikatutfärdaren (CA). Antalet certifikat för nyckelåterställningsagent som behövs är inställda på fliken Återställningsagenter i Snapin-modulen Certifikatutfärdare.
För att kunna utföra denna procedur måste du ha behörighet att hantera certifikatutfärdare, eller ha tilldelats lämplig auktoritet.
Identifiera specifika problem med certifikat för nyckelåterställningsagent så här:
Klicka på Start på datorn som kör certifikatutfärdaren, peka på Administrationsverktyg och klicka på Certifikatutfärdare.
Högerklicka på namnet för certifikatutfärdaren och klicka på Egenskaper.
Klicka på fliken Återställningsagenter.
Kontrollera statuskolumnen för certifikat för nyckelåterställningsagent. Om ett eller flera certifikat har identifierats som Upphört eller Ogiltigt tar du bort det upphörda eller ogiltiga certifikatet för återställningsagenten och tilldelar nya certifikat.
Om du inte hittar något fel med något av dessa certifikat exporterar du varje certifikat till en cer-fil, öppnar ett kommandotolkfönster och kör följande kommando mot varje fil för att kontrollera giltighet och återkallningsstatus: certutil -verify och tryck på RETUR.
Om du har färre antal giltiga certifikat för nyckelåterställningsagent än de som anges kan du också gå till fliken Återställningsagenter och minska antalet återställningsagenter som behövs.
Mer information finns på http://go.microsoft.com/fwlink/?LinkID=95698.
Bekräfta att nyckel för arkivering och återställning fungerar korrekt:
Klicka på Start på datorn som kör certifikatutfärdaren, peka på Administrationsverktyg och klicka på Certifikatutfärdare.
Högerklicka på namnet för certifikatutfärdaren (CA) i konsolträdet och klicka sedan på Egenskaper.
Klicka på fliken Återställningsagenter.
Bekräfta att certifikaten för alla återställningsagenter visas som Giltig.
Bekräfta att ett krypteringscertifikat i behållaren för certifikatmallar har alternativet Arkivera subjektets privata krypteringsnyckel konfigurerat på fliken Hantering av begäranden.
Öppna snapin-modulen för certifikat för ett användarkonto som har behörighet att registrera för ett certifikat baserat på den här certifikatmallen.
Högerklicka på Personlig, peka på Alla uppgifter och klicka på Begär nytt certifikat i konsolträdet för att starta guiden Registrera certifikat.
Registrera för ett certifikat baserat på krypteringsmallen och bekräfta att registreringen slutförts och att inga fel har rapporterats.
Öppna snapin-modulen för certifikatutfärdare när registreringen är slutförd.
Klicka på Utfärdade certifikat i konsolträdet.
Lokalisera posten för certifikatet som utfärdades och lägg till kolumnen Arkiverad nyckel i visningslistan för snapin-modulen.
Bekräfta att ordet Ja visas i kolumnenArkiverad nyckel för det utfärdade certifikatet.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 98 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.98" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">98</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID1174ddb52fa84d038200f297c5aa47dc"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>