Certificate Services kan de opgegeven provider van versleutelingssleutels niet gebruiken.
Active Directory Certificate Services (AD CS) vereist certificaten voor de sleutelherstelagent, uitwisselingcertificaten (XCHG) en sleutels om sleutelarchivering te kunnen ondersteunen. Het functioneren van de certificaten voor de sleutelherstelagent, uitwisselingcertificaten (XCHG) en de cryptografieproviders (CSP's) die nodig zijn om ze te maken, is van essentieel belang voor een openbare-sleutelinfrastructuur.
Een cryptografieprovider gebruiken die sleutelarchivering en sleutelherstel ondersteunt
U kunt mogelijk geen hulpprogramma's voor systeembeheer gebruiken om problemen op te lossen die worden veroorzaakt door cryptografieproviders, het softwareonderdeel waarmee versleuteling en verwante taken voor het genereren van versleutelingscertificaten worden uitgevoerd. Met de volgende taken kunnen echter wel diagnostische gegevens worden weergegeven om u te helpen bij het oplossen van problemen:
Identificeer en test uw cryptografieprovider.
Als u problemen blijft ondervinden en een niet-Microsoft provider gebruikt, neemt u voor het oplossen van de problemen contact op met de leverancier.
U kunt ook de standaardprovider van de versleutelingssleutel weer instellen, maar dan moet u ook het huidige CA-uitwisselingcertificaat intrekken zodat er een nieuw certificaat wordt verleend op basis van de nieuwe provider.
Als u problemen blijft ondervinden en een Microsoft-provider gebruikt, neemt u voor het oplossen van de problemen contact op met de klantenservice van Microsoft.
Een cryptografieprovider identificeren en testen
U moet de machtiging CA beheren hebben of aan u moet de juiste bevoegdheid zijn gedelegeerd om deze procedure te kunnen uitvoeren.
Ga als volgt te werk voor het identificeren en testen van de cryptografieprovider:
Open een opdrachtpromptvenster.
Typ certutil -getreg ca\EncryptionCSP en druk op ENTER.
Typ certutil -csp <providername> -csptest en druk op ENTER. Vervang de providernaam door de provider die is geïdentificeerd in de uitvoer van stap 2.
Als u een niet-Microsoft cryptografieprovider gebruikt, neemt u voor hulp contact op met de leverancier. Neem anders contact op met de klantenservice van Microsoft.
De standaardprovider van de versleutelingssleutel weer instellen
Als u deze procedure wilt uitvoeren, moet u lid zijn van de groep lokale administrators of moet aan u de juiste bevoegdheid zijn gedelegeerd.
U kunt de certificeringsinstantie (CA) zo configureren dat de standaard-Microsoft-provider van versleutelingscertificaten wordt gebruikt door de volgende registersleutel in te stellen op de sleutelarchiefprovider van Microsoft.
Opmerking: u moet het huidige CA-uitwisselingcertificaat mogelijk intrekken, zodat er een nieuw certificaat wordt verleend op basis van de nieuwe provider. Start de CA vervolgens opnieuw.
Wijzig als volgt een geconfigureerde provider van versleutelingssleutels:
Let op: het niet correct bewerken van het register kan ernstige gevolgen hebben voor uw systeem. Maak een back-up van eventuele waardevolle gegevens voordat u verder gaat.
Klik op de computer die als host van de CA optreedt, op Start, typ regedit en druk op ENTER.
Ga naar HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\CA name\EncryptionCSP\Provider.
Wijzig de weergegeven waarde in de sleutelarchiefprovider van Microsoft.
Open de module Certificeringsinstantie.
Klik in de consolestructuur op Verleende certificaten.
Selecteer in het detailvenster het CA-uitwisselingcertificaat.
Wijs in het menu Actie de optie Alle taken aan en klik op Certificaat intrekken.
Selecteer de reden voor het intrekken van het certificaat, pas indien nodig de tijd van de intrekking aan en klik vervolgens op Ja.
Start de CA opnieuw.
Ga als volgt te werk om te controleren of sleutelarchivering en sleutelherstel goed werken:
Klik op de computer die als host van de CA optreedt, op Start, wijs Systeembeheer aan en klik op Certificeringsinstantie.
Klik in de consolestructuur met de rechtermuisknop op de naam van de certificeringsinstantie (CA) en klik vervolgens op Eigenschappen.
Klik op het tabblad Herstelagenten.
Controleer of voor alle sleutelherstelagentcertificaten de status Geldig wordt weergegeven.
Controleer in de container Certificaatsjablonen of voor een versleutelingscertificaat de optie Persoonlijke versleutelingssleutel van de houder archiveren is geconfigureerd op het tabblad Afhandeling van aanvragen.
Open de module Certificaten voor een gebruikersaccount met machtigingen voor inschrijving voor een certificaat op basis van deze certificaatsjabloon.
Klik in de consolestructuur met de rechtermuisknop op Persoonlijk, wijs Alle taken aan en klik op Nieuw certificaat aanvragen om de wizard Certificaat inschrijven te starten.
Schrijf u in voor een certificaat op basis van de versleutelingssjabloon en controleer of de inschrijving wordt voltooid en of er geen fouten worden gerapporteerd.
Wanneer de inschrijving is voltooid, opent u de module Certificeringsinstantie.
Klik in de consolestructuur op Verleende certificaten.
Ga naar de vermelding voor het certificaat dat zojuist is verleend en voeg de kolom Gearchiveerde sleutel aan de weergavelijst van de module toe.
Controleer of voor het certificaat dat zojuist is verleend, het woord Ja wordt weergegeven in de kolom Gearchiveerde sleutel.
Target | Microsoft.Windows.CertificateServices.CARole.6.2 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 86 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.2.CertSvcEvents.86" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.2" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">86</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDda66f694c2aa435dbbbc3e09e3585e3d"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>