На вашем компьютере нет личных сертификатов, подходящих для использования в службе

Обновлено: 21.11.2024

Далее следует часть, которая ставит многих людей в тупик с первой попытки. Теперь у вас есть новый шаблон для выпуска, и мы проверили, что разрешения в этом шаблоне сертификата настроены надлежащим образом, чтобы любой компьютер, являющийся членом нашего домена, мог запросить один из этих сертификатов, верно? Таким образом, нашим логическим следующим шагом было бы перейти на клиентский компьютер и запросить сертификат, но сначала необходимо выполнить еще одну задачу, чтобы сделать это возможным.

Несмотря на то, что новый шаблон создан, он еще не опубликован. Поэтому на данный момент сервер ЦС не будет предлагать клиентам наш новый шаблон в качестве опции, даже если для этого настроены разрешения безопасности. Процесс публикации шаблона сертификата очень быстрый — всего пара щелчков мышью — но если вы не знаете о необходимости сделать это, это может быть очень неприятно, потому что ничего в интерфейсе не дает вам подсказки об этом требовании.< /p>

Публикация шаблона

Если ваша консоль шаблонов сертификатов все еще открыта (та, где мы управляли нашими шаблонами), закройте ее, чтобы вернуться к основной консоли управления центром сертификации. Помните, как мы заметили, что список доступных шаблонов сертификатов, который отображается здесь, намного короче? Это связано с тем, что в настоящее время опубликованы и доступны для выпуска только эти шаблоны сертификатов. Чтобы добавить дополнительные шаблоны в опубликованный список, включая наш новый, мы просто щелкаем правой кнопкой мыши папку «Шаблоны сертификатов» и затем переходим к «Создать | Шаблон сертификата для выдачи:

Теперь нам представлен список доступных шаблонов, которые еще не выпущены. Все, что вам нужно сделать, это выбрать новый шаблон из списка и нажать OK. Новый шаблон теперь включен в список опубликованных шаблонов сертификатов, и мы готовы запросить его с клиентского компьютера:

Если вы просматриваете этот список и не видите только что созданный шаблон, возможно, вам придется выполнить дополнительный шаг. Иногда простое ожидание решает эту проблему, потому что иногда причиной того, что новый шаблон не отображается в списке, является то, что вы ожидаете завершения репликации контроллеров домена. В других случаях вы обнаружите, что даже после некоторого ожидания вашего нового шаблона все еще нет в этом списке. В этом случае вам, вероятно, просто нужно перезапустить службу центра сертификации, чтобы заставить ее получить информацию о новом шаблоне. Чтобы перезапустить службу CA, щелкните правой кнопкой мыши имя CA в верхней части консоли управления Certification Authority и перейдите к All Tasks | Остановить службу. Остановка этой службы обычно занимает одну-две секунды, а затем вы можете сразу же снова щелкнуть правой кнопкой мыши имя CA и на этот раз перейти к All Tasks | Запустить службу. Теперь попробуйте снова опубликовать новый шаблон, и вы должны увидеть его в списке:

Запрос сертификата у MMC

Наш новый шаблон сертификата создан, и мы успешно опубликовали его в консоли ЦС, тем самым сделав его официально готовым к выпуску. Пришло время проверить это. Идите вперед и войдите в обычный клиентский компьютер в вашей сети, чтобы сделать это. Существует несколько стандартных способов запросить новый сертификат на клиентском компьютере. Первый — с помощью старой доброй консоли MMC. На клиентском компьютере запустите MMC и добавьте оснастку для сертификатов. Когда вы выбираете «Сертификаты» из списка доступных оснасток и нажимаете кнопку «Добавить», вам предоставляются некоторые дополнительные параметры для того, какое хранилище сертификатов вы хотите открыть. Вы можете выбрать между открытием сертификатов для учетной записи пользователя, учетной записи службы или учетной записи компьютера. Поскольку мы пытаемся выдать сертификат, который будет использоваться самим компьютером, я хочу выбрать учетную запись компьютера из этого списка и нажать «Готово»:

На следующей странице нажмите кнопку "Готово" еще раз, чтобы выбрать вариант по умолчанию, то есть "Локальный компьютер". Это приведет к привязке к компьютерному хранилищу сертификатов локального компьютера внутри MMC.

В более новых операционных системах, таких как Windows 8 и 10, а также с Windows Server 2012, 2012R2, 2016 и 2019, есть ярлык MSC для открытия непосредственно в хранилище сертификатов локального компьютера.Просто введите CERTLM.MSC в строке «Выполнить», и MMC автоматически запустится и создаст эту оснастку для вас.

Чтобы запросить новый сертификат с нашего сервера ЦС, просто щелкните правой кнопкой мыши личную папку и выберите Все задачи | Запросить новый сертификат… . Откроется мастер; продолжайте и нажмите кнопку «Далее» один раз.

Теперь у вас есть экран, который выглядит так, как будто что-то нужно сделать, но в большинстве случаев, поскольку мы запрашиваем сертификат на одном из наших корпоративных компьютеров, присоединенных к домену, нам на самом деле не нужно ничего делать на представленном экране. на следующем снимке экрана. Просто нажмите «Далее», и мастер запросит у Active Directory все доступные для выпуска шаблоны сертификатов:

Если нового шаблона нет в списке, установите флажок «Показать все шаблоны» . Это даст вам полный список всех шаблонов на сервере ЦС и описание каждого из них с указанием причины, по которой он в настоящее время недоступен для выпуска.

Поставьте галочку рядом с нужными сертификатами и нажмите Зарегистрировать . Теперь консоль вращается в течение нескольких секунд, пока сервер ЦС обрабатывает ваш запрос и выдает новый сертификат, специфичный для вашего компьютера и критерии, которые мы поместили в шаблон сертификата. После завершения вы можете увидеть, что наш новый сертификат машины теперь находится внутри Личного | Сертификаты в ММС. Если вы дважды щелкните сертификат, вы можете проверить его свойства, чтобы убедиться, что все настройки, которые вы хотели передать в этот сертификат, существуют:

Запрос сертификата через веб-интерфейс

Обычно я использую MMC для запроса сертификатов, когда это возможно, но в большинстве случаев есть другая платформа, с которой вы можете запрашивать и выдавать сертификаты. Я говорю в большинстве случаев, потому что наличие этой опции зависит от того, как изначально был построен сервер ЦС. Когда я устанавливал свою роль AD CS, я обязательно выбрал параметры как для центра сертификации, так и для веб-регистрации центра сертификации. Этот второй вариант важен для нашего следующего раздела текста. Без части роли, связанной с веб-регистрацией, у нас не было бы веб-интерфейса, работающего на нашем сервере ЦС, и эта часть была бы нам недоступна. Если на вашем сервере ЦС не включена веб-регистрация, вы можете вернуться на страницу установки роли в диспетчере серверов и добавить ее к существующей роли:

После того как веб-регистрация центра сертификации будет установлена ​​на вашем ЦС, теперь на этом сервере работает веб-сайт, к которому вы можете получить доступ через браузер из вашей сети. Наличие этого веб-сайта полезно, если вам по какой-то причине необходимо, чтобы пользователи могли выпускать свои собственные сертификаты; было бы намного проще предоставить им документацию или обучить их процессу запроса сертификата с веб-сайта, чем ожидать от них навигации по консоли MMC. Кроме того, если вы пытаетесь запросить сертификаты с компьютеров, которые не находятся в той же сети, что и сервер ЦС, использование MMC может быть затруднено. Например, если у вас есть потребность в том, чтобы пользователь дома мог запросить новый сертификат, без полного VPN-туннеля консоль MMC, скорее всего, не сможет подключиться к серверу ЦС, чтобы получить тот сертификат. Но поскольку у нас работает этот веб-сайт регистрации сертификатов, вы можете опубликовать этот веб-сайт извне, как и любой другой веб-сайт в вашей сети, используя обратный прокси-сервер или брандмауэр, чтобы обеспечить безопасность этого трафика и предоставить пользователям возможность поразить этот сайт и запрашивать сертификаты, где бы они ни находились.

Нажав на ссылку Запросить сертификат, вы перейдете к нашему мастеру, в котором мы можем запросить новый сертификат с сервера ЦС. Когда у вас есть пользователи, самостоятельно проходящие через этот веб-интерфейс, обычно это делается для целей пользовательского сертификата, поскольку у нас есть несколько довольно простых способов автоматического распространения сертификатов на уровне компьютера без какого-либо взаимодействия с пользователем. Мы обсудим это через мгновение.Однако для этого примера, поскольку мы просим наших пользователей войти здесь и запросить новый сертификат пользователя, на следующей странице я выберу эту ссылку:

Если вы не заинтересованы в сертификате пользователя и хотите использовать веб-интерфейс для запроса сертификата компьютера, сертификата веб-сервера или любого другого типа сертификата, вы можете вместо этого выбрать ссылку для расширенного запроса сертификата и следовать предлагает сделать это.

Затем нажмите кнопку «Отправить», и после создания сертификата вы увидите ссылку, позволяющую установить этот сертификат. Нажмите на эту ссылку, и новый сертификат, который был только что создан для вас, установлен на ваш компьютер. На следующем снимке экрана вы можете увидеть ответ, который дал мне веб-сайт, указывающий на успешную установку, и вы также можете увидеть, что я открыл текущие пользовательские сертификаты внутри MMC, чтобы увидеть и подтвердить, что сертификат действительно существует:

В этой статье представлено решение проблемы, из-за которой службы сертификации (CS) могут не запускаться на компьютере под управлением Windows Server 2003 или Windows 2000.

Относится к: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер базы знаний: 842210

Симптомы

На компьютере под управлением Microsoft Windows Server 2003 или Microsoft Windows 2000 Server службы сертификации могут не запускаться.

Кроме того, следующее сообщение об ошибке может регистрироваться в журнале приложений в средстве просмотра событий.

Причина

Перед запуском службы сертификации перечисляются все ключи и сертификаты, выданные центру сертификации (ЦС), даже если срок действия ключей и сертификатов истек. Службы сертификации не запустятся, если какой-либо из этих сертификатов будет удален из хранилища персональных сертификатов на локальном компьютере.

Разрешение

Чтобы решить эту проблему, убедитесь, что количество отпечатков сертификатов в реестре равно количеству сертификатов, выданных ЦС. Если какие-либо сертификаты отсутствуют, импортируйте недостающие сертификаты в хранилище персональных сертификатов на локальном компьютере. После импорта отсутствующих сертификатов используйте команду certutil -repairstore, чтобы восстановить связь между импортированными сертификатами и соответствующим хранилищем закрытых ключей.

Для этого используйте один из следующих способов, в зависимости от того, какая версия операционной системы установлена ​​на вашем компьютере.

Способ 1: Windows Server 2003

Чтобы решить эту проблему на компьютере под управлением Windows Server 2003, выполните следующие действия.

Шаг 1. Найдите отсутствующие сертификаты

Этот раздел, метод или задача содержат инструкции по изменению реестра. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. Затем вы можете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в разделе Резервное копирование и восстановление реестра в Windows.

Отпечатки сертификатов показывают все сертификаты, выданные этому центру сертификации. Каждый раз, когда сертификат обновляется, новый отпечаток сертификата добавляется в список CaCertHash в реестре. Количество записей в этом списке должно равняться количеству сертификатов, выданных ЦС и перечисленных в хранилище персональных сертификатов на локальном компьютере.

Чтобы найти отсутствующие сертификаты, выполните следующие действия:

Выберите «Пуск», выберите «Выполнить», введите regedit и нажмите «ОК».

Найдите и выберите следующий подраздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\**Your_Certificate_Authority_Name *

На правой панели дважды щелкните CaCertHash.

Запишите количество отпечатков сертификатов, содержащихся в списке значений данных.

Запустить командную строку.

Введите следующую команду и нажмите клавишу ВВОД: certutil -store

Сравните количество сертификатов, перечисленных в личном хранилище сертификатов локального компьютера, с количеством отпечатков сертификатов, перечисленных в записи реестра CaCertHash. Если номера отличаются, перейдите к шагу 2. Импортируйте отсутствующие сертификаты. Если числа совпадают, перейдите к шагу 3. Установите пакет средств администрирования Windows Server 2003.

Шаг 2. Импортируйте отсутствующие сертификаты

Выберите «Пуск», выберите «Все программы», выберите «Администрирование» и выберите «Сертификаты».

Если Сертификаты не отображаются в списке, выполните следующие действия:

Выберите «Пуск», выберите «Выполнить», введите mmc и нажмите «ОК».

В меню "Файл" выберите "Добавить/удалить оснастку".

Выберите Добавить.

В списке оснастки выберите Сертификаты, а затем выберите Добавить.

Если появится диалоговое окно оснастки «Сертификаты», выберите «Моя учетная запись пользователя», а затем нажмите «Готово».

Выберите Закрыть, а затем нажмите кнопку ОК.

Каталог Certificates теперь добавлен в консоль управления Microsoft (MMC).

В меню "Файл" выберите "Сохранить как", введите "Сертификаты" в поле "Имя файла" и выберите "Сохранить".

Чтобы открывать сертификаты в будущем, выберите "Пуск", выберите "Все программы", выберите "Администрирование" и выберите "Сертификаты".

Разверните раздел "Сертификаты", разверните "Личные", щелкните правой кнопкой мыши "Сертификаты", выберите "Все задачи" и выберите "Импорт".

На странице приветствия выберите Далее.

На странице «Файл для импорта» введите полный путь к файлу сертификата, который вы хотите импортировать, в поле «Имя файла», а затем нажмите «Далее». Вместо этого выберите Обзор, найдите файл и нажмите Далее.

На странице "Хранилище сертификатов" выберите "Далее".

На странице "Завершение работы мастера импорта сертификатов" выберите "Готово".

ЦС всегда публикует свои сертификаты ЦС в папке %systemroot%\System32\CertSvc\CertEnroll. Вы можете найти отсутствующие сертификаты в этой папке.

Шаг 3. Установите пакет средств администрирования Windows Server 2003

После импорта сертификатов необходимо использовать инструмент Certutil для восстановления связи между импортированными сертификатами и соответствующим хранилищем закрытых ключей. Инструмент Certutil входит в состав инструментов CA Certificate Tools. Средства сертификации ЦС Windows Server 2003 находятся в пакете средств администрирования Windows Server 2003. Если инструменты CA Certificate Tools не установлены на вашем компьютере, установите их сейчас.

Шаг 4. Исправьте ссылки

После установки пакета средств администрирования Windows Server 2003 выполните следующие действия:

Запустить командную строку.

Введите следующее и нажмите клавишу ВВОД:
cd %systemroot%\system32\certsrv\certenroll

В выводе последней команды ближе к концу вы увидите строку, похожую на следующую:
Идентификатор ключа Hash(sha1): ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b
Данные Key Id Hash зависят от вашего компьютера. Запишите эту строку.

Введите следующую команду, включая кавычки, и нажмите клавишу ВВОД:
%systemroot%\system32\certutil -repairstore my "Key_Id_Hash_Data"

В этой команде Key_Id_Hash_Data — это строка, которую вы отметили на шаге 4. Например, введите следующее:
%systemroot%\system32\certutil -repairstore my "ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b"

Вы получите следующий вывод:

CertUtil: команда -repairstore успешно выполнена.

Чтобы проверить сертификаты, введите следующее и нажмите клавишу ВВОД:
%systemroot%\system32\certutil -verifykeys После выполнения этой команды вы получите следующий вывод:

CertUtil: команда -verifykeys выполнена успешно.

Шаг 5. Запустите службу служб сертификации

  1. Выберите «Пуск», выберите «Администрирование», а затем выберите «Службы».
  2. Щелкните правой кнопкой мыши Службы сертификации и выберите Пуск.

Способ 2: Windows 2000

Чтобы решить эту проблему на компьютере под управлением Windows 2000, выполните следующие действия.

Шаг 1. Поиск отсутствующих сертификатов

Этот раздел, метод или задача содержат инструкции по изменению реестра. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. Затем вы можете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в разделе Резервное копирование и восстановление реестра в Windows.

Отпечатки сертификатов показывают все сертификаты, выданные этому центру сертификации. Каждый раз, когда сертификат обновляется, новый отпечаток сертификата добавляется в список CaCertHash в реестре. Количество записей в этом списке должно равняться количеству сертификатов, выданных ЦС и перечисленных в хранилище персональных сертификатов на локальном компьютере.

Чтобы найти отсутствующие сертификаты, выполните следующие действия:

Выберите «Пуск», выберите «Выполнить», введите regedit и нажмите «ОК».

Найдите и выберите следующий подраздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\**Your_Certificate_Authority_Name *

На правой панели дважды щелкните CaCertHash.

Запишите количество отпечатков сертификатов, содержащихся в списке значений данных.

Запустить командную строку.

Введите следующее и нажмите клавишу ВВОД: certutil -store

Сравните количество сертификатов, перечисленных в личном хранилище сертификатов локального компьютера, с количеством отпечатков сертификатов, перечисленных в записи реестра CaCertHash. Если номера отличаются, перейдите к шагу 2. Импортируйте отсутствующие сертификаты.Если числа совпадают, перейдите к шагу 3. Установите пакет средств администрирования Windows Server 2003.

Шаг 2. Импорт отсутствующих сертификатов

Выберите «Пуск», выберите «Программы», выберите «Администрирование» и выберите «Сертификаты».

Если Сертификаты не отображаются в списке, выполните следующие действия:

Если появится диалоговое окно оснастки «Сертификаты», выберите «Моя учетная запись пользователя», а затем нажмите «Готово». 5. Выберите Закрыть. 6. Выберите ОК. 7. Каталог Certificates теперь добавлен в консоль управления Microsoft (MMC). 8. В меню Консоль выберите Сохранить как, введите Сертификаты в качестве имени файла, а затем выберите Сохранить.

Чтобы открывать сертификаты в будущем, выберите "Пуск", выберите "Программы", "Администрирование" и выберите "Сертификаты".

Разверните раздел "Сертификаты", разверните "Личные", щелкните правой кнопкой мыши "Сертификаты", выберите "Все задачи" и выберите "Импорт".

На странице приветствия выберите Далее.

На странице «Файл для импорта» введите полный путь к файлу сертификата, который вы хотите импортировать, в поле «Имя файла», а затем нажмите «Далее». Вместо этого выберите Обзор, найдите файл и нажмите Далее.

На странице "Хранилище сертификатов" выберите "Далее".

На странице "Завершение работы мастера импорта сертификатов" выберите "Готово".

ЦС всегда публикует свои сертификаты ЦС в папке %systemroot%\System32\CertSvc\CertEnroll. Вы можете найти отсутствующие сертификаты в этой папке.

Шаг 3. Установите инструменты Certutil для Windows Server 2003

После того, как вы импортируете сертификаты, вы должны использовать Windows Server 2003 CA Certificate Tools, чтобы восстановить связь между импортированными сертификатами и соответствующим хранилищем закрытых ключей.

Версии Certutil.exe и Certreq.exe для Windows Server 2003 включены в пакет средств администрирования Windows Server 2003. Чтобы установить инструменты на компьютер под управлением Windows 2000, необходимо сначала установить пакет средств администрирования Windows Server 2003 на компьютер под управлением Windows Server 2003 или Microsoft Windows XP с пакетом обновления 1 (SP1) или более поздним пакетом обновления. Пакет средств администрирования Windows Server 2003 нельзя установить непосредственно на компьютер под управлением Windows 2000.

После того как вы скопируете средства сертификатов ЦС Windows Server 2003 на компьютер под управлением Windows 2000, две версии средства Certutil будут находиться на компьютере под управлением Windows 2000. Не удаляйте средство Windows 2000 Certutil. Другие программы зависят от версии этого инструмента для Windows 2000. Например, для оснастки MMC «Сертификаты» требуется средство Windows 2000 Certutil. Кроме того, не регистрируйте файлы Windows Server 2003 Certcli.dll и Certadm.dll на компьютере под управлением Windows 2000.

Чтобы использовать средства сертификатов ЦС Windows Server 2003 на компьютере под управлением Windows 2000, выполните следующие действия:

Загрузить пакет средств администрирования Windows Server 2003

Войдите на компьютер под управлением Windows Server 2003 или Windows XP с пакетом обновления 1 (SP1) или более поздним пакетом обновлений.

Установите пакет средств администрирования Windows Server 2003.

В пакете средств администрирования Windows Server 2003 найдите следующие файлы и скопируйте их на съемный носитель, например на 3,5-дюймовый диск:
Certreq.exe
Certutil.exe < br />Certcli.dll
Certadm.dll

Войдите на компьютер под управлением Windows 2000 как администратор.

Вставьте съемный носитель, который вы использовали на шаге 4, в соответствующий диск компьютера под управлением Windows 2000.

Запустить командную строку.

Создайте новую папку, а затем скопируйте файлы со съемного носителя в новую папку. Для этого введите следующие команды и нажмите клавишу ВВОД после каждой команды:
cd\
md W2k3tool
cd w2k3tool
copy Removable_Media_Drive_Letter:\cert*

Во избежание конфликтов с версиями инструмента Certutil для Windows 2000, который уже установлен на компьютере, не включайте папку W2k3tool в системный путь поиска.

Шаг 4. Исправление ссылок

После того как вы скопировали файлы Windows Server 2003 CA Certificate Tools на компьютер под управлением Windows 2000, выполните следующие действия:

Запустить командную строку.

Введите следующее и нажмите клавишу ВВОД:
cd %systemroot\system32\certsrv\certenroll

Root_Drive_Letter – это буква корневого каталога.

В выводе последней команды ближе к концу вы увидите строку, похожую на следующую: Key Id Hash(sha1): ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b
Данные Key Id Hash зависят от вашего компьютера. Запишите эту строку.

Введите следующую команду, включая кавычки, и нажмите клавишу ВВОД:
Буква_корневого_диска:\w2k3tool\certutil -repairstore my «Key_Id_Hash_Data»
В этой команде Key_Id_Hash_Data — это строка, которую вы отметили в шаг 5.Например, введите следующее:
c:\w2k3tool\certutil -repairstore my "ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b"

После выполнения этой команды вы получите следующий вывод:

CertUtil: команда -repairstore успешно выполнена.

Чтобы проверить сертификаты, введите следующую команду и нажмите клавишу ВВОД:
Буква_корневого_диска:\w2k3tool\certutil -verifykeys

После выполнения этой команды вы получите следующий вывод:

CertUtil: команда -verifykeys выполнена успешно.

Шаг 5. Запуск службы сертификации

  1. Выберите «Пуск», выберите «Администрирование», а затем выберите «Службы».
  2. Щелкните правой кнопкой мыши Службы сертификации и выберите Пуск.

Подробнее

Вы должны вывести ЦС из эксплуатации и заменить его, если выполняется одно из следующих условий:

Вы не можете найти отсутствующие сертификаты.

Сертификаты нельзя переустановить.

Не удалось выполнить команду certutil -repairstore, так как закрытые ключи были удалены. Чтобы вывести из эксплуатации и заменить ЦС, выполните следующие действия:

Отозвать сертификаты ЦС, которые перестали правильно работать. Для этого выполните следующие действия:

  1. Войдите как администратор на компьютер, выдавший сертификаты, которые вы хотите отозвать.
  2. Выберите «Пуск», выберите «Программы», выберите «Администрирование», а затем выберите «Центр сертификации».
  3. Разверните CA_Name и выберите Выданные сертификаты.
  4. На правой панели выберите сертификат, который вы хотите отозвать.
  5. В меню "Действие" выберите "Все задачи", а затем выберите "Отозвать сертификат".
  6. В списке Код причины выберите причину отзыва сертификата, а затем выберите Да.

При этом будут отозваны все сертификаты, выданные центром сертификации, который перестал работать корректно.

Опубликовать список отзыва сертификатов (CRL) в ЦС следующего по величине. Для этого выполните следующие действия:

  1. Войдите как администратор на компьютер, на котором работает ЦС следующего уровня.
  2. Выберите «Пуск», выберите «Программы», выберите «Администрирование», а затем выберите «Центр сертификации».
  3. Разверните CA_Name и выберите Отозванные сертификаты.
  4. В меню "Действие" выберите "Все задачи" и выберите "Опубликовать".
  5. Выберите Да, чтобы перезаписать ранее опубликованный CRL.

Если ЦС, который перестал правильно работать, был опубликован в службах каталогов Active Directory, удалите его. Чтобы удалить ЦС из Active Directory, выполните следующие действия:

  1. Запустите командную строку.
  2. Введите следующее и нажмите клавишу ВВОД:
    certutil -dsdel CA_Name

Удалите службы сертификации с сервера, на котором центр сертификации перестал работать должным образом. Для этого выполните следующие действия:

  1. Выберите «Пуск», выберите «Настройки» и выберите «Панель управления».
  2. Дважды щелкните "Установка и удаление программ", а затем выберите "Установка и удаление компонентов Windows".
  3. В списке "Компоненты" снимите флажок "Сертификационные службы", нажмите "Далее", а затем нажмите "Готово".

Установите службы сертификации. Для этого выполните следующие действия:

  1. Выберите «Добавить/удалить компоненты Windows».
  2. В списке «Компоненты» установите флажок «Сертификационные службы», нажмите «Далее», а затем нажмите «Готово».

Все пользователи, компьютеры или службы с сертификатами, выданными центром сертификации, который перестал правильно работать, должны подать заявку на получение сертификатов нового центра сертификации.

Если эта проблема возникает в корневом ЦС иерархии инфраструктуры открытых ключей (PKI) и ее невозможно устранить, вам придется заменить всю иерархию PKI. Дополнительные сведения о том, как удалить иерархию PKI, см. в разделе Как вывести из эксплуатации центр сертификации предприятия Windows и удалить все связанные объекты.

Эта статья поможет вам устранить ошибку, возникающую при попытке импортировать файл сертификата закрытого ключа Secure Sockets Layer (SSL) (.pfx) в хранилище персональных сертификатов на локальном компьютере с помощью Microsoft Internet Information Services (IIS) Manager.

Исходная версия продукта: Internet Information Services
Исходный номер базы знаний: 919074

Эта статья содержит информацию о том, как изменить реестр. Обязательно сделайте резервную копию реестра перед его изменением. Убедитесь, что вы знаете, как восстановить реестр в случае возникновения проблемы. Дополнительные сведения о резервном копировании, восстановлении и изменении реестра см. в разделе Информация о реестре Windows для опытных пользователей.

Симптомы

Вы пытаетесь импортировать файл SSL .pfx в хранилище персональных сертификатов на локальном компьютере.В этой ситуации у вас может возникнуть один из следующих симптомов, в зависимости от того, как вы пытаетесь импортировать файл .pfx:

При попытке импортировать файл .pfx с помощью диспетчера IIS появляется следующее сообщение об ошибке:

Невозможно импортировать PFX-файл. Либо вы ввели неправильный пароль для этого файла, либо срок действия сертификата истек.

При попытке импортировать PFX-файл с помощью оснастки "Сертификаты" консоли управления (MMC) появляется следующее сообщение об ошибке:

Произошла внутренняя ошибка. Это может быть связано либо с тем, что профиль пользователя недоступен, либо с закрытым ключом, который вы импортируете, может потребоваться поставщик криптографических услуг, который не установлен в вашей системе.

Причина

Это происходит, когда выполняется одно или несколько из следующих условий:

  • У вас недостаточно прав для доступа к папке DriveLetter:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys на компьютере.
  • Существует сторонний подключ реестра, который не позволяет IIS получить доступ к поставщику криптографических услуг.
  • Вы вошли в систему удаленно через сеанс служб терминалов. И профиль пользователя не хранится локально на сервере, на котором включены службы терминалов.

Чтобы решить эту проблему, используйте одно из следующих решений в зависимости от ситуации.

Решение 1. Установите правильные разрешения для папки MachineKeys

Если у вас недостаточно прав для доступа к папке DriveLetter:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys на компьютере, задайте правильные разрешения для папки.

Дополнительную информацию о том, как задать разрешения для папки MachineKeys, см. в разделе Разрешения по умолчанию для папок MachineKeys.

Решение 2. Удалите сторонний подраздел реестра

При неправильном изменении реестра с помощью редактора реестра или другого метода могут возникнуть серьезные проблемы. Эти проблемы могут потребовать переустановки операционной системы. Майкрософт не может гарантировать, что эти проблемы могут быть решены. Вносите изменения в реестр на свой страх и риск.

Если существует следующий подраздел реестра, удалите его:
HKEY_USERS\Default\Software\Microsoft\Cryptography\Providers\Type 001

После того как вы удалите этот подраздел реестра, IIS сможет получить доступ к поставщику криптографических услуг.

Решение 3. Сохраните профиль пользователя для сеанса служб терминалов локально

Если профиль пользователя для сеанса служб терминалов не хранится локально на сервере, на котором включены службы терминалов, переместите профиль пользователя на сервер, на котором включены службы терминалов. Либо используйте перемещаемые профили.

Цель статьи. В этой статье приведены пошаговые инструкции по импорту и экспорту SSL-сертификата в Microsoft Windows. Если это не то решение, которое вы ищете, найдите его в строке поиска выше.

​Импорт сертификата

Чтобы импортировать сертификат, вам необходимо получить к нему доступ из консоли управления Microsoft (MMC).

  1. Откройте MMC (Пуск > Выполнить > MMC).
  2. Выберите «Файл» > «Добавить/удалить оснастку».
  3. Сертификаты двойного клика
  4. Выберите учетную запись компьютера.
  5. Выберите «Локальный компьютер» > «Готово».
  6. Нажмите "ОК", чтобы закрыть окно оснастки.
  7. Нажмите [+] рядом с пунктом Сертификаты >Личные >Сертификаты
  8. .
  9. Щелкните правой кнопкой мыши Сертификаты и выберите Все задачи > Импорт
  10. Нажмите "Далее".
  11. Нажмите "Обзор".
  12. Выберите файл .cer, .crt или .pfx, который вы хотите импортировать. Нажмите Открыть.
  13. Нажмите "Далее".
  14. Выберите Автоматически выбирать хранилище сертификатов в зависимости от типа сертификата.
  15. Нажмите "Готово" и "ОК".


Экспорт сертификата в формате .pfx

Чтобы экспортировать сертификат, вам необходимо получить к нему доступ из консоли управления Microsoft (MMC).

Статьи по теме

Создание CSR – Информационные службы Интернета (IIS) 5 и 6

17 сентября 2013 г., 7:43

Цель статьи. В этой статье приведены пошаговые инструкции по созданию запроса на подпись сертификата (CSR) в информационных службах Интернета (IIS) 5 и 6. Если это не то решение, которое вы ищете, найдите его в строке поиска выше.

Установить сертификат — F5 FirePass

6 сентября 2013 г., 6:23

Цель статьи. В этой статье приведены пошаговые инструкции по установке сертификата в F5 FirePass. Если это не то решение, которое вы ищете, найдите его в строке поиска выше.

Подтверждение запроса на подпись сертификата (CSR)

26 августа 2013 г., 12:51

Центр сертификации GlobalSign будет использовать информацию, которую вы предоставили через свой CSR, и информацию, которую вы предоставите в ходе следующей части процесса подачи заявки, для создания полной информации о субъекте в вашем SSL-сертификате

БОЛЬШИНСТВО ЛЮДЕЙ МОГУТ ИСПОЛЬЗОВАТЬ СВОИ CAC С WINDOWS 10

Использовать CAC в Windows 10 очень просто.

Однако компьютеры не всегда сотрудничают с нами. Итак.

Вот мои выводы и решения:

Информация: Edge — это веб-браузер по умолчанию в Windows 10. Internet Explorer установлен на компьютере и обеспечивает обратную совместимость для веб-страниц, которые не работают с Edge.

Я рекомендую ввести: Internet Explorer в поле Поиск в Интернете и Windows / Я Кортана/ Спросите меня о чем-нибудь (поле ) в левом нижнем углу экрана. Когда появится Internet Explorer, щелкните правой кнопкой мыши Internet Explorer и выберите Закрепить на панели задач.

Вывод 1. Вы обновили Windows 8.1 и использовали CAC практически без проблем, а теперь не можете получить доступ к сайтам с поддержкой CAC. Продолжайте читать, чтобы найти идеи для экспериментов:

Решение 1 (встроенная функция смарт-карты). Удалите ActivClient 6.2.0.x или 7.0.1.x, щелкнув правой кнопкой мыши логотип Windows «4 квадрата» [в левом нижнем углу рабочего стола], выберите Программы и компоненты (теперь называется Приложения и компоненты), найдите ActivClient в списке программ и выберите Удалить, перезагрузите компьютер и попробуйте сайты. опять таки. Это может сработать, если нет, попробуйте следующее решение. Пользователи двойного профиля (PIV) могут получить доступ к своей электронной почте с помощью встроенной возможности смарт-карты, ваши результаты могут отличаться, если она не читает вашу PIV, вам нужно будет выполнить вывод 1, Решения 2 или 3 ниже.

Вывод 1, решение 2 (ActivID): ActivID ActivClient 7.1.0.153 отлично работает на компьютерах с Windows 10 и доступен для пользователей армии по ссылкам на странице армии. Все остальные люди должны будут получить его в соответствующем филиале или купить, чтобы попробовать на своем компьютере.

Вывод 2. Я не могу получить доступ к зашифрованным электронным письмам при использовании веб-браузера Edge

Решение 2. Веб-браузер Edge не поддерживает S/MIME. См. мою рекомендацию выше, чтобы узнать, как использовать Internet Explorer для чтения и отправки зашифрованных сообщений электронной почты при использовании OWA/веб-почты.

Информация (от Microsoft): Чтобы понять проблему с OWA, Edge и S/MIME, вам необходимо знать, что OWA S/MIME является элементом управления Active-X. По дизайну Edge не поддерживает Active-X (или вспомогательные объекты браузера); это хорошо с точки зрения безопасности, но плохо, если вы хотите использовать OWA с Edge. Windows 10/Edge находится в стадии разработки, Microsoft планирует использовать другие технологии для замены Active-X в будущем. А пока используйте Internet Explorer 11.

Вывод 3. Я не могу подписывать PDF-файлы (формат переносимых документов), как в Windows 8.1

Решение 3. Для цифровой подписи PDF-файлов необходимо использовать Internet Explorer, а НЕ веб-браузер Edge, и установить Adobe Reader в качестве средства просмотра PDF-файлов по умолчанию. НИКАКИЕ другие программы для чтения PDF-файлов не позволяют подписывать формы цифровой подписью. Это должно происходить автоматически при установке Adobe Reader. Однако, если это не так, вот как изменить средство просмотра по умолчанию:

Введите: «по умолчанию» в поле Поиск в Интернете и Windows / Я Кортана / Спросите меня о чем-нибудь (поле) рядом с логотипом Windows в левом нижнем углу ваш экран.

Нажмите: Программы по умолчанию вверху списка.

Нажмите: Связать тип файла или протокол с программой.

Прокрутите вниз до .pdf, если он показывает Adobe Acrobat Reader, он установлен правильно, если он показывает какую-то другую программу, выберите .pdf и нажмите кнопку Изменить программу.. (кнопка) в правом верхнем углу экрана.

"Adobe Acrobat Reader" должен быть в списке вариантов, выберите его, а затем ОК

Вывод 4. Как получить доступ к параметрам Интернета в Edge? не могу найти.

Вывод 5. Не удается увидеть/выбрать сертификат аутентификации/PIV в Windows 10

Решение 5. Пользователи Windows 10 увидят выбор сертификата не так, как в более старых версиях Windows. Нажмите Дополнительные варианты, чтобы просмотреть дополнительные сертификаты. Выберите правильный сертификат и нажмите ОК.

Если у вас есть вопросы или предложения по этому сайту, свяжитесь с Майклом Дж. Дэнберри

Хотите подписаться на рассылку новостей CACNews?

Последнее обновление или проверка: среда, 5 января 2022 г., 17:58

Читайте также: