Certifikační služba nemohla použít certifikát agenta obnovení klíčů.
Služba AD CS (Active Directory Certificate Services) vyžaduje pro archivaci klíčů certifikáty agenta obnovení klíčů, certifikáty pro výměnu (XCHG) a klíče. Funkce certifikátů agenta obnovení klíčů, certifikátů XCHG a zprostředkovatelů kryptografických služeb (CSP) potřebných k jejich vytvoření je nepostradatelná pro infrastrukturu veřejných klíčů.
Identifikujte a použijte platný certifikát agenta obnovení klíčů
Chcete-li tento problém vyřešit, musíte zjistit, proč je používaný certifikát agenta obnovení klíčů neúspěšný. Obecně se certifikát agenta obnovení klíčů stane nepoužitelným, pokud vypršela jeho platnost nebo byl odvolán.
Abyste mohli provést tento postup, musíte mít oprávnění pro správu certifikační autority, nebo musíte mít přiděleno příslušné oprávnění.
Postup ověření platnosti certifikátu agenta obnovení klíčů:
Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na možnost Certifikační autorita.
Klikněte pravým tlačítkem na název certifikační autority a klikněte na Vlastnosti.
Klikněte na kartu Agenti obnovení a zkontrolujte, zda certifikát agenta obnovení klíčů, jehož index je uveden v protokolu událostí, nemá prošlou platnost nebo není neplatný. Kontrola platnosti certifikátu se provádí ověřením dat jeho platnosti a kontrolou, zda obsahuje rozšíření Rozšířené použití klíče (EKU), jež signalizuje, že je tento certifikát možné použít pro obnovení klíče.
Je-li certifikát prošlý nebo neplatný, odeberte neplatný certifikát agenta obnovení klíčů a přiřaďte nový certifikát. Bude zřejmě nutné vystavit nový certifikát agenta obnovení klíčů dříve, než jej bude možné zaregistrovat v certifikační autoritě.
Další informace viz http://go.microsoft.com/fwlink/?LinkID=95698.
Postup kontroly správné funkce archivace a obnovení klíčů:
Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na možnost Certifikační autorita.
Ve stromu konzoly klikněte pravým tlačítkem na certifikační autoritu a poté na Vlastnosti.
Klikněte na kartu Agenti obnovení.
Zkontrolujte, zda jsou všechny certifikáty agenta obnovování klíčů uvedeny ve stavu Platné.
V kontejneru Šablony certifikátů zkontrolujte, zda je na kartě Vyřízení žádosti u šifrovacího certifikátu nakonfigurována volba Archivovat privátní klíč šifrování subjektu.
Otevřete modul snap-in Certifikáty pro uživatelský účet, který má oprávnění k zápisu certifikátu založeného na této šabloně certifikátu.
Ve stromu konzoly klikněte pravým tlačítkem na možnost Osobní, přesuňte ukazatel na možnost Všechny úlohy a kliknutím na Požádat o nový certifikát spusťte Průvodce zápisem certifikátu.
Zapište certifikát založený na šifrovací šabloně a zkontrolujte, zda zápis proběhl úspěšně a nejsou hlášeny chyby.
Po dokončení zápisu otevřete modul snap-in Certifikační autorita.
Ve stromu konzoly klikněte na položku Vystavené certifikáty.
Vyhledejte záznam právě vystaveného certifikátu a do seznamu zobrazení modulu snap-in přidejte sloupec Archivovaný klíč.
Zkontrolujte, zda se pro právě vystavený certifikát zobrazí ve sloupci Archivovaný klíč slovo Ano.
Target | Microsoft.Windows.CertificateServices.CARole.6.3 |
Category | EventCollection |
Enabled | True |
Event_ID | 85 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.3.CertSvcEvents.85" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.3" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">85</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>