CA 인증서의 체인에 있는 인증서가 해지되었습니다.
체인 또는 경로 유효성 검사는 인증서 체인이 신뢰할 수 있는 자체 서명 인증서에서 종료될 때까지 최종 엔터티(사용자 또는 컴퓨터) 인증서 및 모든 CA(인증 기관) 인증서가 계층적으로 처리되는 프로세스입니다. 일반적으로 신뢰할 수 있는 자체 서명 인증서는 루트 CA 인증서입니다. 가용성, 유효성 및 CA 인증서에 대한 체인 유효성 검사와 관련된 문제가 있을 경우 AD CS(Active Directory 인증서 서비스)를 시작하지 못할 수 있습니다.
해지된 CA 인증서의 체인에 있는 인증서 재발급
CA(인증 기관) 인증서가 해지되는 것은 일반적인 경우가 아닙니다. 이러한 상황을 해결하려면:
CA 인증서가 해지되었는지 확인합니다.
CA 관리자에게 의도적으로 해지했는지 실수로 해지되었는지 문의합니다. 인증서를 의도적으로 해지한 경우에는 추가 조치가 필요 없습니다.
인증서가 실수로 해지된 경우 등록 또는 자동 등록을 통해 해당 CA 인증서와 분기 내의 모든 인증서를 재발급해야 합니다.
문제가 지속되면 CryptoAPI 2.0 진단을 사용하여 이 문제를 일으킬 수 있는 추가 오류를 식별하여 해결하십시오.
이러한 절차를 수행하려면 CA 관리 권한이 있거나 적절한 권한을 위임받아야 합니다.
CA 인증서가 해지되었는지 확인
CA 인증서가 해지되었는지 확인하려면:
명령 프롬프트 창을 엽니다.
certutil -urlfetch -verify<CAcert.cer>을(를) 입력하고 Enter 키를 누릅니다.
CAcert.cer을 CA 인증서 파일 이름으로 바꿉니다.
CA 인증서 등록
CA 인증서를 등록하려면:
CA를 호스트하는 컴퓨터에서 시작을 클릭하고 관리 도구를 가리킨 다음 인증 기관을 클릭합니다.
CA 이름을 마우스 오른쪽 단추로 클릭한 다음 모든 작업을 선택하고 CA 인증서 요청을 클릭합니다.
요청 파일과 CA 이름 또는 상위 CA를 호스트하는 컴퓨터를 선택하여 요청을 처리하고 등록을 완료합니다.
CA 인증서가 설치되면 해지된 CA 인증서를 사용하여 발급된 모든 인증서를 재발급해야 합니다.
CryptoAPI 2.0 진단 사용
CryptoAPI 2.0 진단을 사용하려면:
CA를 호스트하는 컴퓨터에서 시작을 클릭하고 관리 도구를 가리킨 다음 이벤트 뷰어를 클릭합니다.
콘솔 트리에서 이벤트 뷰어, 응용 프로그램 및 서비스 로그, Microsoft, Windows 및 CAPI2를 차례로 확장합니다.
작동을 마우스 오른쪽 단추로 클릭하고 로그 사용을 클릭합니다.
시작을 클릭하고 관리 도구를 가리킨 다음 서비스를 클릭합니다.
AD CS(Active Directory 인증서 서비스)를 마우스 오른쪽 단추로 클릭하고 다시 시작을 클릭합니다.
이 오류와 관련된 정보를 확인하려면 CAPI2 진단 로그를 살펴보십시오.
CA(인증 기관) 인증서 및 해당 체인이 유효한지 확인하려면:
CA를 호스트하는 컴퓨터에서 시작을 클릭하고 mmc를 입력한 다음 Enter 키를 누릅니다.
사용자 계정 컨트롤 대화 상자가 나타나면 표시되는 작업이 원하는 작업인지 확인한 다음 계속을 클릭합니다.
파일 메뉴에서 스냅인 추가/제거, 인증서, 추가를 차례대로 클릭합니다.
컴퓨터 계정을 클릭하고 다음을 클릭합니다.
마침을 클릭한 다음 확인을 클릭합니다.
콘솔 트리에서 인증서(로컬 컴퓨터)를 클릭한 다음 개인을 클릭합니다.
만료되지 않은 CA 인증서가 이 저장소에 있는지 확인합니다.
인증서를 마우스 오른쪽 단추로 클릭하고 내보내기를 선택하여 인증서 내보내기 마법사를 시작합니다.
인증서를 Cert.cer이라는 파일로 내보냅니다.
Start, cmd를 차례로 입력하고 Enter 키를 누릅니다.
certutil -urlfetch -verify <cert.cer>을(를) 입력하고 Enter 키를 누릅니다.
보고된 유효성 검사, 체인 만들기 또는 해지 확인 오류가 없을 경우 체인은 유효합니다.
Target | Microsoft.Windows.CertificateServices.CARole.6.3 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 51 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.3.CertSvcEvents.51" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.3" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">51</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDec09b85c4b5c4b5c9753da70c2ab3dc7"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>