我遇到了一个 DC,它在处理 AD 证书服务时给我 RPC 错误。我可以看到 AD 中有 2 个根 CA,其中一个有问题。删除它安全吗?或者有这方面的程序吗?
Windows Server 2012 R2
事件“Active Directory 证书服务未启动:无法加载或验证当前 CA 证书。company-PCZDC-CA 密钥集不存在 0x80090016 (-2146893802 NTE_BAD_KEYSET)。“
C:\Windows\system32>certutil -repairstore 我的“a5 89 64 42 4b 8e 36 96 75 98 ce 66 64 e8 de 78 dd f1 5b a6”
我的“个人”
================ 证书 3 =================
序列号:17ae4091a11c7e8e4dc3ed3fc72db75b
发行人:CN=company-PCZDC-CA、DC=company、DC=komp
未早于:2009 年 10 月 4 日下午 12:02
NotAfter:2019 年 10 月 4 日下午 12:12
主题:CN=company-PCZDC-CA、DC=company、DC=komp
证书模板名称(证书类型):CA
CA版本:V0.0
签名与公钥匹配
根证书:主体与颁发者匹配
模板:CA,根证书颁发机构
证书哈希(sha1):a5 89 64 42 4b 8e 36 96 75 98 ce 66 64 e8 de 78 dd f1 5b a6
密钥容器 = company-PCZDC-CA
提供商 = Microsoft 软件密钥存储提供商
缺少存储的密钥集
加密测试已通过
CertUtil:-repairstore 命令失败:0x80090010(-2146893808 NTE_PERM)
CertUtil:拒绝访问。
C:\Windows\system32>certutil -repairstore 我的“ba e3 ba 4c 08 d2 ed 60 08 3f 6e fe 41 18 b6 3e bd ab c8 d5”
我的“个人”
================ 证书 2 =================
序列号:485fd8c5f3feeb8a4e64ecd16a2dbd23
发行人:CN=company-PCZDC-CA、DC=company、DC=komp
未早于:2013 年 2 月 6 日上午 10:42
NotAfter:2023 年 2 月 6 日上午 10:52
主题:CN=company-PCZDC-CA、DC=company、DC=komp
证书模板名称(证书类型):CA
CA版本:V1.1
签名与公钥匹配
根证书:主体与颁发者匹配
模板:CA,根证书颁发机构
证书哈希(sha1):ba e3 ba 4c 08 d2 ed 60 08 3f 6e fe 41 18 b6 3e bd ab c8 d5
密钥容器 = company-PCZDC-CA(1)
唯一容器名称:c73ffc950df279cee4509962d72c6d8b_725e2e58-6d5c-4cfd-bef2-9c66eb03b047
提供商 = Microsoft 软件密钥存储提供商
私钥不可以纯文本形式导出
签名测试已通过
CertUtil:-repairstore 命令已成功完成。
C:\Windows\system32>
答案1
然后是这个:来自https://technet.microsoft.com/en-us/library/cc759048(v=ws.10).aspx
certutil -addstore 我的 certnew.cer
certutil -repairstore 我的“指纹”