Certificate Services kan geen kruiscertificaat maken.
Wanneer een certificaat van een basiscertificeringsinstantie (CA) wordt vernieuwd, blijven zowel het originele als het vernieuwde basiscertificaat belangrijk in de openbare-sleutelhiërarchie. Het originele CA-certificaat blijft het ultieme fundament van vertrouwen voor de hiërarchie en helpt bij het valideren van de certificaatketens voor alle certificaten die onder de originele hiërarchie zijn verleend. Het vernieuwde basis-CA-certificaat vormt het fundament van vertrouwen voor alle certificaten die vanaf de vernieuwingsdatum aan de hiërarchie worden toegevoegd
Om deze scenario's te ondersteunen wordt er ook een paar CA-kruiscertificaten gemaakt om de vertrouwensrelatie tussen het originele certificaat en het vernieuwde basiscertificaat tot stand te brengen:
Het eerste kruiscertificaat controleert of het originele basis-CA-certificaat het vernieuwde CA-certificaat vertrouwd.
Het tweede kruiscertificaat controleert of het vernieuwde CA-certificaat het originele basiscertificaat vertrouwd.
Zelfstandige CA's genereren zelfondertekende kruiscertificaten wanneer er CA-sleutels worden gewijzigd. Er wordt voor elke sleutelovergang een kruiscertificaat gegenereerd gedurende de periode waarin de levensduur van het ene basiscertificaat die van een andere overlapt.
Een ontbrekend CA-kruiscertificaat maken
Wanneer een certificaat van een basiscertificeringsinstantie (CA) wordt vernieuwd met een nieuwe sleutel, genereert de CA automatisch kruiscertificaten tussen de oude en de nieuwe CA-certificaten. Als zich een cryptografische fout voordoet tijdens het ondertekenen van het kruiscertificaat, kunt u het probleem mogelijk oplossen door het conflict met de extensie te corrigeren. Als dat niet mogelijk is, schakelt u CryptoAPI 2.0 Diagnostics in om extra gegevens te verzamelen voor het oplossen van het probleem.
U moet de machtiging CA beheren hebben of aan u moet de juiste bevoegdheid zijn gedelegeerd om deze procedures te kunnen uitvoeren.
Een conflict met een extensie oplossen
Ga als volgt te werk om een conflict met een extensie op te lossen:
Klik op Start, typ mmc en druk op ENTER.
Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, controleert u of de gewenste actie wordt weergegeven en klikt u op Doorgaan.
Klik in het menu Bestand op Module toevoegen/verwijderen, klik op Certificaten en klik vervolgens op Toevoegen.
Klik op Computeraccount en klik op Volgende.
Selecteer de computer die als host van de CA optreedt, klik op Voltooien en klik vervolgens op OK.
Klik op het tabblad Details en klik vervolgens op Weergeven: alleen extensies.
Dubbelklik op het vorige CA-certificaat en bekijk de geconfigureerde extensies voor dit certificaat.
Vergelijk de extensies in het nieuwste CA-certificaat met de extensies in het vorige CA-certificaat.
Herstel eventuele verschillen tussen extensies door de certificaataanvraag opnieuw te configureren en een nieuwe certificaataanvraag in te dienen.
Opmerking: zie 'Advanced Certificate Enrollment and Management' voor informatie over het configureren van een aangepaste certificaataanvraag ( http://go.microsoft.com/fwlink/?LinkID=74577).
CryptoAPI 2.0 Diagnostics inschakelen
U schakelt CryptoAPI 2.0 Diagnostics als volgt in:
Klik op de computer die als host van de CA optreedt, op Start, wijs Systeembeheer aan en klik op Logboeken.
Vouw in de consolestructuur achtereenvolgens Logboeken, Logboeken Toepassingen en Services, Microsoft, Windows en CAP12 uit.
Klik met de rechtermuisknop op Operationeel en klik op Logboek inschakelen.
Klik op Start, wijs Systeembeheer aan en klik op Services.
Klik met de rechtermuisknop op Active Directory Certificate Services en klik op Opnieuw starten.
Zoek naar fouten in de CA-certificaatcontrole of de keten. Los eventuele fouten op en start de CA vervolgens opnieuw.
Als de extensies juist zijn en de CA-certificaatcontrole en de keten bevatten geen fouten, worden automatisch de ontbrekende CA-kruiscertificaten gegenereerd wanneer de CA opnieuw wordt gestart.
Controleer als volgt of de certificeringsinstantie (CA) een kruiscertificaat kan maken om haar eigen certificaat te certificeren tijdens de CA-certificaatvernieuwing:
Klik op de computer die als host van de CA optreedt op Start, wijs Systeembeheer aan en klik op Certificeringsinstantie.
Klik in de consolestructuur op de naam van de CA.
Wijs in het menu Actie de optie Alle taken aan en klik op CA-certificaat vernieuwen om de wizard Certificaat vernieuwen te starten.
Open de module Certificaten op de computer en dubbelklik op het CA-certificaat.
Klik op het tabblad Details en klik vervolgens op Weergeven:alleen extensies.
Dubbelklik op het vorige CA-certificaat en bekijk de geconfigureerde extensies voor dit certificaat.
Vergelijk de extensies in het nieuwste CA-certificaat met de extensies in het vorige CA-certificaat om te controleren of ze overeenkomen.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 99 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.99" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">99</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDace9b8c0fb8c4912995ba86dd441ae51"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>