Certifikattjänster kunde inte behandla en begäran.
En av en certifikatutfärdares (CA) primära funktioner är att utvärdera certifikatbegäranden från kunder och, om de fördefinierade villkoren uppfylls, utfärda certifikat för dessa kunder. För att certifikatregistrering ska lyckas måste ett antal element finnas innan begäran skickas, inklusive en CA med ett CA-certifikat; korrekt konfigurerade certifikatmallar, klientkonton och certifikatbegäranden; och ett sätt för kunden att skicka begäran till CA, få begäran validerad och installera det utfärdade certifikatet.
Korrigera problem som kan förhindra att certifikatbegäranden behandlas
En rad problem kan förhindra att en certifikatbegäran behandlas. Om händelseloggmeddelandet inte innehåller all information du behöver för att korrigera problemet kan du använda ytterligare fel och varningar som levererats precis före eller efter det här händelseloggmeddelandet för att identifiera orsaken.
Identifiera och korrigera problem som kan blockera behandling av certifikat genom att:
Bekräfta certifikatkedjan för certifikatutfärdaren (CA).
Generera och publicera nya listor över återkallade certifikat (CRL).
Bekräfta de konfigurerade CRL-distributionspunkterna
Om dessa steg inte löser problemet kontrollerar du kön med misslyckade begäranden i certifikatutfärdaren för att se varför begäran misslyckades.
För att kunna utföra följande procedurer måste du ha behörighet att hantera certifikatutfärdare, eller ha tilldelats lämplig auktoritet.
Bekräfta certifikatkedjan för certifikatutfärdaren
Validera certifikatkedjan för certifikatutfärdaren:
Klicka på Start, skriv mmc och tryck på RETUR.
Om dialogrutan User Account Control visas bekräftar du att åtgärden den visar är den du vill ha. Klicka sedan på Fortsätt.
Klicka på Lägg till/ta bort snapin i Arkiv-menyn, klicka på Certifikat och Lägg till.
Klicka på Datorkonto och Nästa.
Markera den dator som kör CA och klicka på Slutför och OK.
Markera varje CA-certifikat i certifikatkedjan och klicka på Visa certifikat.
Klicka på fliken Information och klicka på Kopiera till fil för att starta guiden Exportera certifikat. Spara varje certifikat med tillägget .cer.
Öppna en kommandotolk och kör följande kommando för varje certifikatutfärdarcertifikat: certutil -urlfetch -verify <CAcert.cer> och tryck sedan på RETUR. Ersätt <CAcert.cer> med namnet på certifikatfilen för certifikatutfärdare som du sparade i steg 7.
Använd samma kommando med en certifikatfil för ett slutenhetscertifikat (användare eller dator) som utfärdats av certifikatutfärdaren för att bekräfta CRL:er för både CA och dess kedja.
Lös alla problem som identifierats i kommandoradens utdata.
Generera och publicera nya CRL:er
Om kommandoradens utdata anger att en CRL för en CA har upphört genererar du nya bas- och delta-CRL:er för denna CA och kopierar dem till de nödvändiga platserna. Du måste kanske starta om en offline-CA för detta.
Kontrollera den aktuella listan över återkallade certifikat som är publicerad i certifikatutfärdaren. Som standard skapar certifikatutfärdaren listor över återkallade certifikat i mappen %windir%\System32\CertSrv\CertEnroll. Om de aktuella listorna över återkallade certifikat på denna plats har löpt ut eller är ogiltiga kan du använda följande procedur för att publicera en ny lista över återkallade certifikat.
Publicera en ny CRL med snapin-modulen för certifikatutfärdare:
Klicka på Start på datorn som kör certifikatutfärdaren, peka på Administrationsverktyg och klicka på Certifikatutfärdare.
Markera certifikatutfärdaren och expandera mapparna nedanför CA-namnet.
Högerklicka på mappen Återkallade certifikat.
Klicka på Alla aktiviteter och Publicera.
Du kan även generera och publicera CRL:er från en kommandotolk.
Publicera en CRL med Certutil-kommandoradsverktyget:
Klicka på Start på datorn som kör certifikatutfärdaren, skriv cmd och tryck på RETUR.
Skriv certutil -CRL och tryck på RETUR.
Om en CRL har identifierats som inte tillgänglig men det finns en giltig CRL i det lokala arkivet på certifikatutfärdaren, bekräftar du att CA kan ansluta till CRL-distributionspunkten och använder sedan de föregående stegen för att generera och publicera CRL:er igen.
CRL:er kan publiceras manuellt till Active Directory Domain Services (AD DS) med följande kommando:
certutil -dspublish"<crlname.crl>" ldap:///CN=<CA name>,CN=<CA hostname>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint
Ersätt crlname.crl med namnet på din fil med listan över återkallade certifikat, <CA name> och <CA hostname> med ditt certifikatutfärdarnamn och namnet på värden där certifikatutfärdaren körs, och <contoso> och <com> med namnutrymmet för Active Directory-domänen.
Bekräfta konfigurerade CRL-distributionspunkter
Kontrollera alla konfigurerade CRL-distributionspunkter för att bekräfta att publiceringen lyckades och att nya CRL:er finns tillgängliga på nätverket.
Kontrollera de konfigurerade CRL-distributionspunkterna med snapin-modulen för certifikatutfärdaren:
Klicka på Start på datorn som kör certifikatutfärdaren, peka på Administrationsverktyg och klicka på Certifikatutfärdare.
Högerklicka på namnet för certifikatutfärdaren (CA) och klicka på Egenskaper.
Klicka på fliken Tillägg.
Granska de konfigurerade CRL-distributionspunkterna för att se till att informationen är korrekt.
Kontrollera de konfigurerade CRL-distributionspunkternas URL:er med Certutil:
Öppna ett kommandotolkfönster på certifikatutfärdaren.
Skriv följande kommando: certutil -getreg ca\crlpublicationurls och tryck på RETUR.
Kontrollera kön med misslyckade begäranden i certifikatutfärdaren
Kontrollera kön med misslyckade begäranden i certifikatutfärdaren med snapin-modulen på CA:
Klicka på Start på datorn som kör certifikatutfärdaren, peka på Administrationsverktyg och klicka på Certifikatutfärdare.
Klicka på mappen Misslyckade begäranden.
Sök efter misslyckade begäranden som skickades vid eller nära händelsen, och kontrollera om det finns ytterligare diagnostikinformation i kolumnerna Fördelningsmeddelande för begäran, Statuskod för begäran och Namn på beställare.
Kontrollera misslyckade begäranden med Certutil:
Klicka på Start, skriv cmd och tryck på RETUR på datorn som kör certifikatutfärdaren.
Skriv certutil -view LogFail och tryck på RETUR.
Skriv certutil -view -restrict requestID="<nnn>" och tryck på RETUR. Ersätt <nnn> med ID för något av de misslyckade begärandena i LogFail-kommandots utdata.
Bekräfta att bearbetning av certifikatbegäran fungerar korrekt:
Klicka på Start, skriv certmgr.msc och tryck på RETUR.
Om dialogrutan User Account Control visas bekräftar du att åtgärden den visar är den du vill ha. Klicka sedan på Fortsätt.
Dubbelklicka på Personlig i konsolträdet och klicka sedan på Certifikat.
Peka på Alla uppgifter i Åtgärdsmenyn och klicka på Begär nytt certifikat för att starta guiden Registrera certifikat.
Använd guiden för att skapa och skicka en certifikatbegäran för alla typer av tillgängliga certifikat.
Bekräfta att registreringen slutförts och att inga fel har rapporterats under Resultat av certifikatinstallation. Du kan också klicka på Information för att visa ytterligare certifikatinformation.
Target | Microsoft.Windows.CertificateServices.CARole.6.2 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 22 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.2.CertSvcEvents.22" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.2" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">22</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID515b77767c984710bc8f71a810107927"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>