мастер импорта сертификатов windows 7 введенный пароль неправилен
Мастер импорта сертификатов windows 7 введенный пароль неправилен
Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов рунета Pyatilistnik.org. В прошлый раз мы с вами успешно настроили сеть на CentOS 7.6, двигаемся вперед. В сегодняшней публикации я вам хочу продемонстрировать, как вы можете выполнить экспорт сертификата или импорт сертификата из хранилища Windows. Уверен, что вы сами с легкостью можете найти кучу разных сценариев при которых вы можете использовать мою инструкцию.
Примеры сценариев при импорте и экспорте сертификата
Если вы мой постоянный читатель, то вам уже должны быть знакомы понятие SSL сертификата, его виды и назначение. Сейчас уже сложно себе представить работу юридических лиц, ИП и обычных граждан без сертификатов и ЭЦП. Многие программы используют их для шифрования трафика, например при документообороте или при доступе к сервису, очень частый пример, это кабинет клиент-банка.
В большинстве случаев у людей на компьютере установлена операционная система Windows, она не идеальна и бывают частые случаи ее выхода из строя. При таком раскладе у вас легко могла возникать ситуация по восстановлению вашего сертификата из хранилища Windows, или при обновлении вашего компьютера на более новый, где так же производили перенос сертификатов, я приводил такой пример для КриптоПРО. Переходим к практике.
Импорт сертификата в Windows
Ранее я вам рассказывал, где в операционной системе Windows хранятся сертификаты и вы помните, что там есть два глобальных контейнера:
Я в своем примере буду импортировать сертификат в раздел локального компьютера, в личное расположение. И так у меня есть Wildcard сертификат имеющий формат PFX архива. Существует два метода импорта сертификата в операционных системах Windows:
Давайте начнем с самого простого метода, через графический интерфейс. У меня есть файл pyatilistnik.pfx. Я щелкаю по нему двойным кликом и запускаю мастер импорта сертификатов.
Я указываю, что буду копировать сертификат в хранилище локального компьютера, нажимаю далее.
Мастер импорта сертификата попытается удостовериться, какой файл вы будите копировать, поддерживаются форматы PFX, P12, p7b и SST.
На следующем этапе вы указываете пароль от данного сертификата, при желании можете поставить галку «Пометить этот ключ как экспортируемый, что позволит сохранить резервную копию ключа и перемещать его». Данная галка полезна при использовании сертификата их реестра, ну и потом можно будет его при необходимости перенести, но это МЕНЕЕ БЕЗОПАСНО, не не смертельно если есть пароль.
Далее вы выбираете куда вы будите помещать сертификат при импорте, я выберу ручное помещение в личное хранилище.
Завершаем мастер импорта сертификатов.
В результате импортирование сертификата успешно выполнено.
Давайте удостоверимся, что у вас появился ваш сертификат, тут вы можете воспользоваться оснасткой mmc «сертификаты» или же утилитой certutil. Я покажу оба варианта, откройте командную строку или оболочку PowerShell и выполните:
В итоге у вас будет список всех ваших сертификатов, если знаете его CN, то можете отфильтровать по findstr. Второй вариант, это в окне выполнить открыть mmc и добавить там оснастку «Сертификаты» (Подробнее по ссылке выше про mmc).
Для импорта сертификата вам нужно через команду cd перейти в каталог, где хранится pfx архив. В моем примере, это каталог C:\Temp\wildcard.
Далее импортируем наш сертификат. пишем команду:
Все с копированием сертификата в ваше локальное хранилище мы разобрались, переходим к экспорту.
Экспорт сертификата Windows
У вас откроется окно мастера экспорта сертификатов, нажимаем далее.
Если есть возможно и закрытый ключ экспортируемый, то можете выставить режим «Да, экспортировать закрытый ключ».
Задаем обязательный пароль два раза, лучше сразу задавать стойкий пароль.
В следующем окне мастера по экспорту сертификатов, вы задаете его имя и где он будет сохранен.
Завершаем процедуру экспорта pfx архива из нашего хранилища сертификатов.
Экспорт успешно выполнен.
Теперь давайте произведем экспорт с помощью утилиты certutil. Перед тем, как это сделать, нам необходимо вычислить серийный номер сертификата.Для этого выполните команду:
Находим поле «Серийный номер» у нужного сертификата и копируем его.
Далее пишем команду для экспорта сертификата;
Все успешно отработало.
На выходе я получил файл export-cert-2.pfx. Открыть архив с сертификатом вы легко сможете через утилиту keytool или Key Store Explorer.
В этой статье помогают устранить ошибку, которая возникает при попытке импортировать файл закрытого сертификата ключа безопасного уровня sockets (SSL) (.pfx) в локальный магазин персональных сертификатов компьютера с помощью Microsoft IIS (IIS) Manager.
Оригинальная версия продукта: службы IIS
Исходный номер КБ: 919074
В статье содержатся сведения об изменении реестра. Перед внесением любых изменений в реестр, создайте его резервную копию. и изучить процедуру его восстановления на случай возникновения проблемы. Дополнительные сведения о том, как восстановить, восстановить и изменить реестр, см. в Windows реестра для продвинутых пользователей.
Симптомы
Невозможно импортировать файл pfx. Либо вы ввели неправильный пароль для этого файла, либо срок действия сертификата истек.
Произошла внутренняя ошибка. Это может быть либо недоступный профиль пользователя, либо закрытый ключ, который вы импортируете, может потребоваться поставщику криптографических служб, который не установлен в вашей системе.
Причина
Такое поведение происходит, когда одно или несколько из следующих условий являются верными:
Чтобы устранить это поведение, используйте одно из следующих решений, соответствующее вашей ситуации.
Разрешение 1. Установите правильные разрешения для папки MachineKeys
Если у вас недостаточно разрешений для доступа к папке на компьютере, установите правильные разрешения DriveLetter:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys для папки.
Дополнительные сведения о том, как установить разрешения для папки MachineKeys, см. в дополнительных сведениях о разрешениях по умолчанию для папок MachineKeys.
Разрешение 2. Удаление под ключа сторонних реестров
Неправильное изменение параметров системного реестра с помощью редактора реестра или любым иным путем может привести к возникновению серьезных неполадок. Из-за них может потребоваться переустановка операционной системы. Компания Microsoft не может гарантировать, что эти проблемы могут быть решены. Вносите изменения в реестр на ваш страх и риск.
Если существует следующий подкай реестра, удалите его:
HKEY_USERS\Default\Software\Microsoft\Cryptography\Providers\Type 001
После удаления этого под ключа реестра IIS может получить доступ к поставщику криптографических служб.
Разрешение 3. Локальное хранение профиля пользователя для сеанса служб терминалов
Если профиль пользователя для сеанса служб терминалов не хранится локально на сервере с включенной службой терминалов, переместим профиль пользователя на сервер, на который включены службы терминалов. Кроме того, используйте профили роуминга.
Статус
Такое поведение является особенностью данного продукта.
Экспорт сертификата и его закрытого ключа без предоставления доступа к паролю
Верно ли, что существует новая возможность Windows Server 2012, позволяющая осуществить защищенный импорт содержимого файла PKCS#12 без предоставления соответствующего пароля всем администраторам, участвующим в операции импорта?
В. Нам необходимо экспортировать на одном из веб-серверов сертификат X.509 и связанный с ним закрытий ключ и затем импортировать их на всех остальных веб-серверах нашей фермы серверов. Для этого мы планируем использовать мастер экспорта сертификатов системы Windows, мастер импорта сертификатов и файл формата PKCS#12 (*.pfx), защищенный с помощью пароля.
О. Да, это так. Операционные системы Windows Server 2012 и Windows 8 поддерживают новую возможность, позволяющую обеспечивать защиту сертификата и его закрытого ключа, содержащихся в файле формата PKCS#12, с помощью учетной записи пользователя или группы Active Directory (AD). Данная возможность очень полезна при экспорте и импорте сертификатов и закрытых ключей, так как вам не нужно сообщать пароль всем участникам данного процесса.
Для поддержки такой возможности мастер экспорта сертификатов в системах Server 2012 и Windows 8 предоставляет новый вариант защиты, позволяющий защитить файл. pfx с помощью учетной записи пользователя или группы AD. Как показано на экране, в мастере на закладке Security появился новый параметр Group or user names (recommended). При выборе этого параметра вы можете добавить учетную запись AD с помощью кнопки Add. Логика мастера импорта сертификатов изменена таким образом, чтобы автоматически определять тот факт, что вы вошли в систему с действительной учетной записью AD, и разблокировать доступ к сертификату и закрытому ключу в файле. pfx без запроса на ввод пароля.
.jpg "Windows IT Pro RE 50 (8859)") |
| Экран. Страница Security мастера Certificate Export Wizard |
В действительности эта новая функция по-прежнему использует пароль, который генерируется автоматически для защиты файла. pfx. Данный пароль шифруется с помощью интерфейса API Windows Data Protection (DPAPI) и добавляется к файлу. pfx. Когда защищенный pfx-файл импортируется, Windows проверяет, присутствует ли учетная запись пользователя или компьютера, которые осуществляют импорт, в списке учетных записей, сформированном при создании файла. pfx. Если присутствует, то Windows автоматически расшифровывает пароль и предоставляет доступ к сертификату и закрытому ключу.
Эта функция работает только при экспорте сертификата и закрытого ключа на компьютерах с Windows Server 2012 или Windows 8, являющихся членами домена AD. Кроме того, компьютер, на котором вы импортируете сертификат и закрытий ключ, должен входить в домен, в котором имеется доступный контроллер домена с системой Server 2012.
Поделитесь материалом с коллегами и друзьями
Как выполнить экспорт или импорт сертификатов и ключей Windows
Чтобы воспользоваться сертификатом на своем или другом компьютере под управлением Windows, его нужно импортировать или экспортировать, соответственно.
Импорт сертификата и закрытого ключа
Если вам кто-то прислал сертификат или вы передали его с одного компьютера на другой, сертификат и закрытый ключ необходимо импортировать, прежде чем пользоваться ими. Импорт сертификата предполагает его размещение в соответствующую папку сертификатов.
Экспорт сертификата и закрытого ключа
Чтобы создать резервную копию сертификата или воспользоваться им на другом компьютере, сертификат сначала следует экспортировать.
Экспорт сертификата предполагает преобразование сертификата в файл, который затем можно передать с одного компьютера на другой или поместить в безопасное место. Рекомендуется экспортировать сертификаты на съемный носитель, например диск или USB флеш-память.
Примечание: Выбор нужного формата будет зависеть от того, как будет использоваться сертификат. Например, для сертификата с закрытым ключом следует выбирать формат обмена личными сведениями. Если нужно переместить несколько сертификатов с одного компьютера на другой одним файлом, следует выбирать стандарт Cryptographic Message Syntax. Если сертификат будет использоваться в нескольких операционных системах, следует выбирать формат в DER-кодировке X.509.
Службы сертификатов могут не запускаться на компьютере с Windows Server 2003 или Windows 2000 г.
В этой статье данная статья позволяет решить проблему, из-за которой службы сертификатов (CS) могут не запускаться на компьютере с Windows Server 2003 или Windows 2000.
Применяется к: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ: 842210
Симптомы
На компьютере под управлением Microsoft Windows Server 2003 или Microsoft Windows 2000 Server службы сертификатов могут не запускаться.
Кроме того, следующее сообщение об ошибке может быть в журнале Приложения в viewer событий.
Причина
Перед началом служб сертификатов он приводит все ключи и сертификаты, которые были выданы в орган сертификации (CA), даже если срок действия ключей и сертификатов истек. Службы сертификатов не будут запускаться, если один из этих сертификатов был удален из локального магазина персональных сертификатов компьютера.
Решение
Для этого используйте один из следующих методов в зависимости от версии операционной системы, запущенной компьютером.
Метод 1: Windows Server 2003
Чтобы устранить эту проблему на компьютере Windows Server 2003, выполните следующие действия.
Шаг 1. Искать отсутствующие сертификаты
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в дополнительныхсведениях о том, как создать и восстановить реестр в Windows.
Отпечатки пальцев сертификата указывают все сертификаты, которые были выданы этому ЦС. Каждый раз, когда сертификат обновляется, в список CaCertHash в реестр добавляется новый отпечатк сертификата. Количество записей в этом списке должно равняться числу сертификатов, выдаванных в ЦС и перечисленных в локальном хранилище персональных сертификатов компьютера.
Чтобы найти отсутствующие сертификаты, выполните следующие действия:
Выберите Начните, выберите Выполнить, введите regedit, а затем выберите ОК.
Найдите и выберите следующий подкай: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\**Your_Certificate_Authority_Name *
В правой области дважды щелкните CaCertHash.
Обратите внимание на количество отпечатков пальцев сертификата, которые содержатся в списке данных Value.
Начните командную подсказку.
Сравните количество сертификатов, перечисленных в локальном хранилище персональных сертификатов компьютера, с числом отпечатков пальцев сертификата, перечисленных в записи реестра CaCertHash. Если цифры отличаются, перейдите на шаг 2: Импорт недостающих сертификатов. Если числа одинаковы, перейдите к шагу 3. Установите пакет средств администрирования Windows Server 2003.
Шаг 2. Импорт отсутствующих сертификатов
Выберите Начните, указать на все программы, указать на административные средства, а затем выбрать сертификаты.
Если сертификаты не отображаются в списке, выполните следующие действия:
Выберите Начните, выберите Run, введите mmc, а затем выберите ОК.
В меню File выберите Добавить или Удалить привязку.
Нажмите кнопку Добавить.
В списке Snap-in выберите Сертификаты, а затем выберите Добавить.
Если появится диалоговое окно «Сертификаты», выберите учетную запись пользователя и выберите Finish.
Выберите Закрыть, а затем — ОК.
Каталог сертификатов теперь добавляется в консоль управления Майкрософт (MMC).
В меню Файл выберите Сохранить как, введите сертификаты в поле имя файла, а затем выберите Сохранить.
Чтобы открыть сертификаты в будущем, выберите Начните, укайте все программы, указать на административные средства, а затем выберите Сертификаты.
Расширение сертификатов, расширение личных, правой кнопкой мыши Сертификаты, указать все задачи, а затем выбрать импорт.
На странице Welcome выберите Далее.
На странице Файл импорт введите полный путь файла сертификата, который необходимо импортировать в поле имя файла, а затем выберите Далее. Вместо этого выберите Просмотр, поиск файла, а затем выберите Далее.
На странице Хранилище сертификатов выберите Далее.
На странице Завершение мастера импорта сертификатов выберите Finish.
ЦС всегда публикует свои сертификаты ЦС в %systemroot%\System32\CertSvc\CertEnroll папку. Отсутствующие сертификаты можно найти в этой папке.
Шаг 3. Установка пакета средств администрирования Windows Server 2003
После импорта сертификатов необходимо использовать средство Certutil для восстановления связи между импортируемыми сертификатами и связанным частным хранилищем ключей. Средство Certutil включено в средства сертификации ca. Средства сертификации Windows Server 2003 расположены в пакете средств администрирования Windows Server 2003. Если средства сертификации ca не установлены на компьютере, установите их сейчас.
Шаг 4. Восстановление ссылок
После установки пакета средств администрирования Windows Server 2003 выполните следующие действия:
Начните командную подсказку.
Введите следующее, а затем нажмите кнопку ENTER:
cd %systemroot%\system32\certsrv\certenroll
Сделайте примечание сертификата в папке Certenroll, которая похожа на следующее: Your_Server. Your_Domain.com_rootca.crt
В выходе из последней команды, ближе к концу, вы увидите строку, аналогичную следующей:
Key Id Hash (sha1): ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b
Данные о hash key Id являются специфическими для компьютера. Обратите внимание на эту строку.
Введите следующую команду, включая кавычка, а затем нажмите кнопку ENTER:
%systemroot%\system32\certutil-repairstore my «Key_Id_Hash_Data»
В этой команде Key_Id_Hash_Data строка, отмеченная в шаге 4. Например, введите следующее:
%systemroot%\system32\certutil-repairstore my «ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b»
Затем вы получите следующий вывод:
CertUtil: команда verifykeys выполнена успешно.
Шаг 5. Запуск службы сертификации
Метод 2: Windows 2000 г.
Чтобы устранить эту проблему на компьютере Windows 2000, выполните следующие действия.
Шаг 1. Поиск отсутствующих сертификатов
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в дополнительныхсведениях о том, как создать и восстановить реестр в Windows.
Отпечатки пальцев сертификата указывают все сертификаты, которые были выданы этому ЦС. Каждый раз, когда сертификат обновляется, в список CaCertHash в реестр добавляется новый отпечатк сертификата. Количество записей в этом списке должно равняться числу сертификатов, выдаванных в ЦС и перечисленных в локальном хранилище персональных сертификатов компьютера.
Чтобы найти отсутствующие сертификаты, выполните следующие действия:
Выберите Начните, выберите Выполнить, введите regedit, а затем выберите ОК.
Найдите и выберите следующий подкай: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\**Your_Certificate_Authority_Name *
В правой области дважды щелкните CaCertHash.
Обратите внимание на количество отпечатков пальцев сертификата, которые содержатся в списке данных Value.
Начните командную подсказку.
Сравните количество сертификатов, перечисленных в локальном хранилище персональных сертификатов компьютера, с числом отпечатков пальцев сертификата, перечисленных в записи реестра CaCertHash. Если цифры отличаются, перейдите на шаг 2: Импорт недостающих сертификатов. Если числа одинаковы, перейдите к шагу 3. Установите пакет средств администрирования Windows Server 2003.
Шаг 2. Импорт отсутствующих сертификатов
Выберите Начните, указать на программы, указать на административные средства, а затем выбрать сертификаты.
Если сертификаты не отображаются в списке, выполните следующие действия:
Если появится диалоговое окно «Сертификаты», выберите учетную запись пользователя и выберите Finish. 5. Нажмите Закрыть. 6. Нажмите OK. 7. Каталог сертификатов теперь добавляется в консоль управления Майкрософт (MMC). 8. В меню Консоли выберите Сохранить как, введите сертификаты в качестве имени файла, а затем выберите Сохранить.
Чтобы открыть сертификаты в будущем, выберите Начните, указать на программы, указать на административные средства, а затем выберите Сертификаты.
Расширение сертификатов, расширение личных, правой кнопкой мыши Сертификаты, указать все задачи, а затем выбрать импорт.
На странице Welcome выберите Далее.
На странице Файл импорт введите полный путь файла сертификата, который необходимо импортировать в поле имя файла, а затем выберите Далее. Вместо этого выберите Просмотр, поиск файла, а затем выберите Далее.
На странице Хранилище сертификатов выберите Далее.
На странице Завершение мастера импорта сертификатов выберите Finish.
ЦС всегда публикует свои сертификаты ЦС в %systemroot%\System32\CertSvc\CertEnroll папку. Отсутствующие сертификаты можно найти в этой папке.
Шаг 3. Установка Windows Server 2003 Certutil
После импорта сертификатов необходимо использовать средства сертификации Windows Server 2003 для восстановления связи между импортируемыми сертификатами и связанным частным хранилищем ключей.
Версии Windows Server 2003 Certutil.exe и Certreq.exe включены в пакет средств администрирования Windows Server 2003. Чтобы установить инструменты на компьютере на Windows 2000, сначала необходимо установить пакет средств администрирования Windows Server 2003 на компьютере с Windows Server 2003 или Microsoft Windows XP с Пакет обновления 1 (SP1) или с более поздним пакетом обслуживания. Пакет средств администрирования Windows Server 2003 не может быть установлен непосредственно Windows компьютере на 2000 основе.
После копирования средств сертификации Windows Server 2003 на компьютере на Windows 2000 года на компьютере на Windows 2000 года будут находиться две версии средства Certutil. Не удаляйте Windows 2000 Certutil. Другие программы зависят от Windows 2000 версии этого средства. Например, для оснастки сертификатов MMC требуется Windows 2000 Certutil. Кроме того, не регистрируйте файлы Windows Server 2003 Certcli.dll и Certadm.dll на компьютере Windows 2000 года.
Чтобы использовать средства сертификации Windows Server 2003 на компьютере на Windows 2000, выполните следующие действия:
Скачайте пакет Windows Server 2003
Во входе на компьютер с Windows Server 2003 или Windows XP с пакетом обновления 1 или более поздним пакетом служб.
Установите пакет Windows Server 2003.
В пакете средств администрирования Windows Server 2003 найдите следующие файлы, а затем скопируйте их на съемную среду хранения, например 3,5-дюймовый диск:
Certreq.exe
Certutil.exe
Certcli.dll
Certadm.dll
Во входе на Windows 2000 в качестве администратора.
Вставьте съемную среду хранения, используемую на шаге 4, в соответствующий диск компьютера Windows 2000.
Начните командную подсказку.
Сделайте новую папку, а затем скопируйте файлы на съемной среде хранения в новую папку. Для этого введите следующие команды и нажмите кнопку ENTER после каждой команды:
cd\
md W2k3tool
cd w2k3tool
скопировать Removable_Media_Drive_Letter:\cert*
Чтобы избежать конфликтов с Windows 2000 версий средства Certutil, уже на компьютере, не включите папку W2k3tool в путь поиска системы.
Шаг 4. Восстановление ссылок
После копирования файлов Windows ca Certificate Tools 2003 на компьютер на Windows 2000 года выполните следующие действия:
Начните командную подсказку.
Введите следующее, а затем нажмите кнопку ENTER:
cd %systemroot\system32\certsrv\certenroll
Обратите внимание на сертификат в папке Certenroll, которая похожа на следующую:
Your_Server.Your_Domain.com_rootca.crt
Root_Drive_Letter является буквой корневого каталога.
Your_Server.Your_Domain.com_rootca.crt — это имя сертификата в папке Certenroll, которую вы отметили в шаге 3.
В выходе из последней команды в конце вы увидите строку, аналогичную следующей: Key Id Hash (sha1): ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b
Данные о hash key Id являются специфическими для компьютера. Обратите внимание на эту строку.
Введите следующую команду, включая кавычка, и нажмите кнопку ENTER:
Root_Drive_Letter: \ w2k3tool\certutil-repairstore my «Key_Id_Hash_Data»
В этой команде Key_Id_Hash_Data есть строка, которую вы отметили в шаге 5. Например, введите следующее:
c:\w2k3tool\certutil-repairstore my «ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b»
После завершения этой команды вы получите следующий вывод:
Чтобы проверить сертификаты, введите следующую команду и нажмите кнопку ENTER:
Root_Drive_Letter: \ w2k3tool\certutil-verifykeys
После этого команда будет получать следующие выходные данные:
CertUtil: команда verifykeys выполнена успешно.
Шаг 5. Запуск службы сертификации
Дополнительная информация
Вы должны отменить и заменить ЦС, если одно из следующих условий верно:
Вы не можете найти недостающие сертификаты.
Сертификаты нельзя переустановить.
Отостановка сертификатов для ЦС, который перестал работать правильно. Для этого выполните следующие действия:
Это отзовет все сертификаты, которые были выданы ЦС, которые перестали работать правильно.
Публикация списка отзыва сертификата (CRL) в следующем по максимуму ЦС. Для этого выполните следующие действия:
Если ЦС, который перестал правильно работать, был опубликован в службах каталогов Active Directory, удалите его. Чтобы удалить ЦС из Active Directory, выполните следующие действия:
Удалите службы сертификатов с сервера, на котором ЦС перестал работать правильно. Для этого выполните следующие действия:
Установка служб сертификатов. Для этого выполните следующие действия:
Все пользователи, компьютеры или службы с сертификатами, которые были выданы ЦС, которые перестали работать правильно, должны зарегистрироваться для сертификатов из нового ЦС.
Если эта проблема возникает в корневом ЦС иерархии инфраструктуры общедоступных ключей (PKI) и если проблему не удается устранить, вам придется заменить всю иерархию PKI. Дополнительные сведения о том, как удалить иерархию PKI, см. в этой Windows сертификации и удаление всех связанных объектов.