Certificate Services kan geen certificaat voor de sleutelherstelagent gebruiken.
Active Directory Certificate Services (AD CS) vereist certificaten voor de sleutelherstelagent, uitwisselingcertificaten (XCHG) en sleutels om sleutelarchivering te kunnen ondersteunen. Het functioneren van de certificaten voor de sleutelherstelagent, uitwisselingcertificaten (XCHG) en de cryptografieproviders (CSP's) die nodig zijn om ze te maken, is van essentieel belang voor een openbare-sleutelinfrastructuur.
Een geldig certificaat voor een herstelagent identificeren en gebruiken
U moet nagaan waarom het gebruikte certificaat voor de sleutelherstelagent niet kan worden gebruikt om dit probleem op te lossen. Over het algemeen kan een certificaat voor een sleutelherstelagent niet meer worden gebruikt wanneer het certificaat is verlopen of is ingetrokken.
U moet de machtiging CA beheren hebben of aan u moet de juiste bevoegdheid zijn gedelegeerd om deze procedure te kunnen uitvoeren.
Controleer als volgt de geldigheid van het certificaat voor de sleutelherstelagent:
Klik op de computer die als host van de CA optreedt op Start, wijs Systeembeheer aan en klik op Certificeringsinstantie.
Klik met de rechtermuisknop op de naam van de certificeringsinstantie (CA) en klik op Eigenschappen.
Klik op het tabblad Herstelagenten en controleer of het certificaat voor de sleutelherstelagent waarvan de index wordt vermeld in het gebeurtenislogboek, Verlopen of Ongeldig is. Om de geldigheid van het certificaat te controleren controleert u de geldigheidsdatums van het certificaat en controleert u of het certificaat de EKU (extended key usage) bevat die aangeeft dat dit certificaat voor steutelherstel kan worden gebruikt.
Als een certificaat is verlopen of niet geldig is, verwijdert u het ongeldige certificaat voor de sleutelherstelagent en wijst u een nieuw certificaat toe. U moet mogelijk een nieuw certificaat voor de sleutelherstelagent verlenen voordat het certificaat kan worden geregistreerd bij de CA.
Zie http://go.microsoft.com/fwlink/?LinkID=95698 voor meer informatie.
Ga als volgt te werk om te controleren of sleutelarchivering en sleutelherstel goed werken:
Klik op de computer die als host van de CA optreedt op Start, wijs Systeembeheer aan en klik op Certificeringsinstantie.
Klik in de consolestructuur met de rechtermuisknop op de naam van de certificeringsinstantie (CA) en klik vervolgens op Eigenschappen.
Klik op het tabblad Herstelagenten.
Controleer of voor alle sleutelherstelagentcertificaten de status Geldig wordt weergegeven.
Controleer in de container Certificaatsjablonen of voor een versleutelingscertificaat de optie Persoonlijke versleutelingssleutel van de houder archiveren is geconfigureerd op het tabblad Afhandeling van aanvragen.
Open de module Certificaten voor een gebruikersaccount met machtigingen voor inschrijving voor een certificaat op basis van deze certificaatsjabloon.
Klik in de consolestructuur met de rechtermuisknop op Persoonlijk, wijs Alle taken aan en klik op Nieuw certificaat aanvragen om de wizard Certificaat inschrijven te starten.
Schrijf u in voor een certificaat op basis van de versleutelingssjabloon en controleer of de inschrijving wordt voltooid en of er geen fouten worden gerapporteerd.
Wanneer de inschrijving is voltooid, opent u de module Certificeringsinstantie.
Klik in de consolestructuur op Verleende certificaten.
Ga naar de vermelding voor het certificaat dat zojuist is verleend en voeg de kolom Gearchiveerde sleutel aan de weergavelijst van de module toe.
Controleer of voor het certificaat dat zojuist is verleend, het woord Ja wordt weergegeven in de kolom Gearchiveerde sleutel.
Target | Microsoft.Windows.CertificateServices.CARole.6.3 |
Category | EventCollection |
Enabled | True |
Event_ID | 85 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.3.CertSvcEvents.85" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.3" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">85</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>