企业 PKI 主要是一个监视工具。作为监视工具,通常可能是管理员使用公钥基础结构 (PKI) 发现问题或潜在问题的第一个位置。因此,一定要了解如何能找到其他诊断和疑难解答信息,从而在问题可能变得更加严重之前快速解决问题,这一点非常重要。
如果在承载证书颁发机构 (CA) 或联机响应程序的服务器上指示警告或严重错误,则应检查该计算机上的事件查看器中记录的事件,了解可帮助您诊断和改正问题的其他信息。
对于与 CA 相关的问题,如当前证书吊销列表 (CRL) 的连接问题,请使用“证书颁发机构”管理单元来改正相应问题。
对于与联机响应程序相关的问题,可以使用“联机响应程序”管理单元执行如改正吊销配置问题等任务。
如果企业 PKI 指示一个或多个 CA 证书即将过期,请使用“证书”管理单元重新颁发或续订这些证书。
可以启用 CryptoAPI 2.0 诊断功能,以获取有关许多与 PKI 相关的问题的详细信息。
您必须是本地管理员才能完成此过程。
 | 启用高级 CryptoAPI 2.0 诊断功能的步骤 |
单击“开始”,依次指向“所有程序”和“管理工具”,然后单击“事件查看器”。
展开“应用程序和服务日志”、“Microsoft”和“Windows”文件夹。
打开“CAPI2”文件夹,右键单击“操作”,然后单击“启用日志”。
如果再现问题之前日志中存在数据,请右键单击“操作”,然后单击“清除日志”。此操作只允许从已保存的日志中收集与该问题方案有关的数据。
打开“服务”管理单元控制台,右键单击“Active Directory 证书服务”,然后单击“重新启动”。
收集事件数据后,请右键单击“操作”,单击“将事件另存为”,然后键入相应事件文件的名称,以保存日志文件。可以采用 .evtx 格式(可通过事件查看器打开)或 .xml 格式保存日志文件。
 | 注意 |
|
事件日志大小的默认最大值为 1 MB。对于 CryptoAPI 2.0 诊断,日志大小会快速增加,建议将日志大小的最大值至少增加到 4 MB,以捕获相关事件。若要增加日志大小的最大值,请右键单击“操作”,然后单击“属性”。在日志属性中,增加日志大小的最大值。 |
有关 CryptoAPI 2.0 诊断的详细信息,请参阅“Windows Vista 中的 PKI 问题疑难解答”(
有关如何解答和解决 CA、CRL、访问证书和联机响应程序问题的详细信息,请参阅“Active Directory 证书服务”(