企业 PKI 主要是一个监视工具。作为监视工具,通常可能是管理员使用公钥基础结构 (PKI) 发现问题或潜在问题的第一个位置。因此,一定要了解如何能找到其他诊断和疑难解答信息,从而在问题可能变得更加严重之前快速解决问题,这一点非常重要。

如果在承载证书颁发机构 (CA) 或联机响应程序的服务器上指示警告或严重错误,则应检查该计算机上的事件查看器中记录的事件,了解可帮助您诊断和改正问题的其他信息。

对于与 CA 相关的问题,如当前证书吊销列表 (CRL) 的连接问题,请使用“证书颁发机构”管理单元来改正相应问题。

对于与联机响应程序相关的问题,可以使用“联机响应程序”管理单元执行如改正吊销配置问题等任务。

如果企业 PKI 指示一个或多个 CA 证书即将过期,请使用“证书”管理单元重新颁发或续订这些证书。

可以启用 CryptoAPI 2.0 诊断功能,以获取有关许多与 PKI 相关的问题的详细信息。

您必须是本地管理员才能完成此过程。

启用高级 CryptoAPI 2.0 诊断功能的步骤
  1. 单击“开始”,依次指向“所有程序”“管理工具”,然后单击“事件查看器”

  2. 展开“应用程序和服务日志”“Microsoft”“Windows”文件夹。

  3. 打开“CAPI2”文件夹,右键单击“操作”,然后单击“启用日志”

  4. 如果再现问题之前日志中存在数据,请右键单击“操作”,然后单击“清除日志”。此操作只允许从已保存的日志中收集与该问题方案有关的数据。

  5. 打开“服务”管理单元控制台,右键单击“Active Directory 证书服务”,然后单击“重新启动”

  6. 收集事件数据后,请右键单击“操作”,单击“将事件另存为”,然后键入相应事件文件的名称,以保存日志文件。可以采用 .evtx 格式(可通过事件查看器打开)或 .xml 格式保存日志文件。

注意

事件日志大小的默认最大值为 1 MB。对于 CryptoAPI 2.0 诊断,日志大小会快速增加,建议将日志大小的最大值至少增加到 4 MB,以捕获相关事件。若要增加日志大小的最大值,请右键单击“操作”,然后单击“属性”。在日志属性中,增加日志大小的最大值。

有关 CryptoAPI 2.0 诊断的详细信息,请参阅“Windows Vista 中的 PKI 问题疑难解答”(https://go.microsoft.com/fwlink/?LinkId=89570)(可能为英文网页)。

有关如何解答和解决 CA、CRL、访问证书和联机响应程序问题的详细信息,请参阅“Active Directory 证书服务”(https://go.microsoft.com/fwlink/?LinkId=89215)(可能为英文网页)。