인증서 서비스가 키 복구 에이전트 인증서를 사용하지 못했습니다.
키 보관을 지원하려면 AD CS(Active Directory 인증서 서비스)에는 키 복구 에이전트 인증서, 교환(XCHG) 인증서 및 키가 필요합니다. 키 복구 에이전트 인증서, XCHG 인증서 및 인증서를 만드는 데 필요한 CSP(암호화 서비스 공급자)의 작용은 공개 키 인프라에 중요합니다.
유효한 키 복구 에이전트 인증서 식별 및 사용
이 문제를 해결하려면 사용 중인 키 복구 에이전트 인증서가 실패한 이유를 식별해야 합니다. 일반적으로 만료되었거나 해지된 경우 키 복구 에이전트 인증서를 사용할 수 없습니다.
이러한 절차를 수행하려면 CA 관리 권한이 있거나 적절한 권한을 위임받아야 합니다.
키 복구 에이전트 인증서의 유효성을 확인하려면:
CA를 호스트하는 컴퓨터에서 시작을 클릭하고 관리 도구를 가리킨 다음 인증 기관을 클릭합니다.
CA(인증 기관) 이름을 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.
복구 에이전트 탭을 클릭하고 이벤트 로그에 인덱스가 나열된 키 복구 에이전트 인증서가 만료됨 또는 유효하지 않음 상태인지 확인합니다. 인증서의 유효성을 확인하려면 인증서의 유효 날짜를 확인하고 인증서에 이 인증서를 키 복구에 사용할 수 있는지를 나타내는 EKU(확장 키 사용) 확장명이 포함되어 있는지 확인합니다.
인증서가 만료되었거나 유효하지 않은 경우 유효하지 않은 키 복구 에이전트 인증서를 제거하고 새 인증서를 할당합니다. 새로운 키 복구 에이전트 인증서를 CA에 등록하려면 먼저 발급받아야 할 수 있습니다.
자세한 내용은 http://go.microsoft.com/fwlink/?LinkID=95698을 참조하십시오.
키 보관 및 복구 가 제대로 작동하는지 확인하려면:
CA를 호스트하는 컴퓨터에서 시작을 클릭하고 관리 도구를 가리킨 다음 인증 기관을 클릭합니다.
콘솔 트리에서 CA(인증 기관)의 이름을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
복구 에이전트 탭을 클릭합니다.
모든 키 복구 에이전트 인증서가 유효함으로 표시되어 있는지 확인합니다.
인증서 템플릿 컨테이너에서 암호화 인증서에 요청 처리 탭에서 구성한 주체의 암호화 개인 키 보관 옵션이 있는지 확인합니다.
이 인증서 템플릿을 기반으로 인증서를 등록할 권한이 있는 사용자 계정에 대한 인증서 스냅인을 엽니다.
콘솔 트리에서 개인을 마우스 오른쪽 단추로 클릭하고 모든 작업을 가리킨 다음 새 인증서 요청을 클릭하여 인증서 등록 마법사를 시작합니다.
암호화 템플릿을 기반으로 인증서를 등록하고 등록이 성공적으로 완료되었고 보고된 오류가 없는지 확인합니다.
등록이 완료되면 인증 기관 스냅인을 엽니다.
콘솔 트리에서 발급된 인증서를 클릭합니다.
방금 발급된 인증서에 해당하는 항목을 찾아 보관된 키 열을 스냅인 표시 목록에 추가합니다.
Yes라는 단어가 방금 발급된 인증서에 해당하는 보관된 키 열에 표시되어 있는지 확인합니다.
Target | Microsoft.Windows.CertificateServices.CARole.6.3 |
Category | EventCollection |
Enabled | True |
Event_ID | 85 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.3.CertSvcEvents.85" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.3" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">85</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>