Certifikační služba nemohla vytvořit křížový certifikát.
Při obnovování kořenového certifikátu certifikační autority (CA) je v hierarchii veřejného klíče důležitý jak původní kořenový certifikát, tak obnovený kořenový certifikát. Původní kořenový certifikát certifikační autority zůstává hlavním základem hierarchie a pomáhá při ověřování řetězů certifikátů pro všechny certifikáty vydané pod původní hierarchií. Obnovený kořenový certifikát certifikační autority představuje základ důvěryhodnosti pro všechny certifikáty vydané v hierarchii od data obnovení.
Pro tyto případy byl rovněž sestaven pár křížových certifikátů certifikační autority, jejichž účelem je vytvoření vztahu důvěryhodnosti mezi původním a obnoveným kořenovým certifikátem:
První křížový certifikát ověřuje, zda původní kořenový certifikát certifikační autority má vztah důvěryhodnosti s obnoveným certifikátem certifikační autority.
Druhý křížový certifikát ověřuje, zda obnovený certifikát certifikační autority má vztah důvěryhodnosti s původním kořenovým certifikátem.
Samostatné certifikační autority vytvářejí křížové certifikáty podepsané svým držitelem, když dojde ke změně klíčů certifikační autority. Křížový certifikát je vytvořen pro každý přechod klíče na období, kdy se překrývá doba života každého kořenového certifikátu.
Vytvořte chybějící křížový certifikát certifikační autority
Když je kořenový certifikát certifikační autority (CA) obnoven pomocí nového klíče, certifikační autorita automaticky vytvoří křížové certifikáty mezi původními a novými certifikáty certifikační autority. Pokud během podepisování křížového certifikátu dojde ke kryptografické chybě, bude zřejmě možné tento problém vyřešit odstraněním konfliktu rozšíření. Jinak aktivujte diagnostiku CryptoAPI 2.0, s jejíž pomocí získáte dodatečné informace pro řešení problémů.
Abyste mohli provést tyto postupy, musíte mít oprávnění pro správu certifikační autority, nebo musíte mít přiděleno příslušné oprávnění.
Vyřešte konflikt rozšíření
Postup řešení konfliktu rozšíření:
Klikněte na tlačítko Start, zadejte mmc a stiskněte klávesu ENTER.
Pokud se otevře dialogové okno Řízení uživatelských účtů, zkontrolujte, jestli zobrazená akce odpovídá vašemu požadavku, a pak klikněte na Pokračovat.
V nabídce Soubor klikněte na možnost Přidat nebo odebrat modul snap-in, klikněte na Certifikáty a poté na Přidat.
Klikněte na možnost Účet počítače a klikněte na Další.
Vyberte počítač hostující certifikační autoritu, klikněte na Dokončit a poté na OK.
Klikněte na kartu Podrobnosti a klikněte na Zobrazit: Pouze rozšíření.
Dvakrát klikněte na předchozí certifikát certifikační autority a prohlédněte si rozšíření nakonfigurovaná pro tento certifikát.
Srovnejte rozšíření v nejnovějším certifikátu certifikační autority s rozšířeními v předchozím certifikátu certifikační autority.
Odstraňte případnou neshodu mezi rozšířeními změnou konfigurace žádosti o certifikát a odesláním nové žádosti o certifikát.
Poznámka: Poznámka: Informace o konfigurování vlastní žádosti o certifikát najdete v tématu "Rozšířený zápis a správa certifikátů" ( http://go.microsoft.com/fwlink/?LinkID=74577).
Povolte diagnostiku CryptoAPI 2.0
Postup povolení diagnostiky CryptoAPI 2.0:
Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Prohlížeč událostí.
Ve stromu konzoly rozbalte položku Prohlížeč událostí, Protokoly aplikací a služeb, Microsoft, Windows a CAPI2.
Klikněte pravým tlačítkem na položku Funkční a klikněte na Povolit protokol.
Klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Služby.
Klikněte pravým tlačítkem na službu AD CS (Active Directory Certificate Services) a na Restartovat.
Hledejte případné chyby v ověření nebo řetězení certifikátů certifikační autority. Odstraňte případné chyby a restartujte certifikační autoritu.
Jsou-li rozšíření správná a ověření a řetězení certifikátů certifikační autority jsou v pořádku, chybějící křížové certifikáty certifikační autority by měly být vytvořeny automaticky při restartování certifikační autority.
Postup ověření, zda je certifikační autorita (CA) schopna vytvořit křížový certifikát k certifikaci svého vlastního certifikátu během obnovování certifikátu CA:
Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na možnost Certifikační autorita.
Ve stromu konzoly klikněte na název certifikační autority.
V nabídce Akce přesuňte ukazatel na možnost Všechny úlohy a kliknutím na Obnovit certifikát certifikační autority spusťte Průvodce obnovením certifikátu.
Na počítači otevřete modul snap-in Certifikáty a dvakrát klikněte na certifikát certifikační autority.
Klikněte na kartu Podrobnosti a klikněte na Zobrazit:Pouze rozšíření.
Dvakrát klikněte na předchozí certifikát certifikační autority a prohlédněte si rozšíření nakonfigurovaná pro tento certifikát.
Srovnejte rozšíření v nejnovějším certifikátu certifikační autority s rozšířeními v předchozím certifikátu certifikační autority a zkontrolujte, zda jsou ve shodě.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 99 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.99" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">99</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDace9b8c0fb8c4912995ba86dd441ae51"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>