Certifikační služba nemohla vytvořit seznam odvolaných certifikátů (CRL).
Poskytnutí informací, které klienti potřebují k určení důvěryhodnosti certifikátu, je jednou z nejdůležitějších bezpečnostních funkcí certifikační autority (CA) a infrastruktury veřejných klíčů (PKI). Pro správce to znamená rychlé odvolání nedůvěryhodných certifikátů, které nedosáhly svého plánovaného data vypršení platnosti, a publikování této informace do seznamů odvolaných certifikátů (CRL). Sledování a řešení problémů s publikováním a dostupností seznamů odvolaných certifikátů je závažným aspektem zabezpečení infrastruktury veřejných klíčů.
Vytvořte seznam odvolaných certifikátů
Služba AD CS (Active Directory Certificate Services) nemohla vytvořit seznam odvolaných certifikátů (CRL). To může způsobit chybu u aplikací, které potřebují kontrolovat stav odvolání certifikátů vystavených touto certifikační autoritou (CA).
Tato zpráva protokolu událostí by měla obsahovat konkrétnější informace týkající se nezdaru při vytváření seznamu odvolaných certifikátů. Postup odstranění této chyby:
Vyřešte případné problémy uvedené ve zprávě protokolu událostí.
Pokuste se vytvořit seznam odvolaných certifikátů ručně.
Abyste mohli provést tento postup, musíte mít oprávnění pro správu certifikační autority, nebo musíte mít přiděleno příslušné oprávnění.
Vytvoření seznamu odvolaných certifikátů
Postup ručního vytvoření seznamu odvolaných certifikátů pomocí modulu snap-in Certifikační autorita:
Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na možnost Certifikační autorita.
Ve stromu konzoly klikněte na položku Odvolané certifikáty.
V nabídce Akce přesuňte ukazatel na položku Všechny úlohy a klikněte na Publikovat.
Vyberte možnost Nový seznam CRL, chcete-li přepsat předchozí publikovaný seznam odvolaných certifikátů, nebo možnost Rozdílový seznam CRL, pokud chcete publikovat pouze aktuální rozdílový seznam odvolaných certifikátů.
Klikněte na tlačítko OK.
Postup ručního vytvoření seznamu odvolaných certifikátů pomocí nástroje pro příkazový řádek Certutil:
Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, zadejte příkaz cmd a stiskněte ENTER.
Zadejte příkaz certutil -CRL a stiskněte klávesu ENTER.
Pokud se pokusy o ruční vytvoření seznamu odvolaných certifikátů nezdaří, vyberte název certifikační autority v modulu snap-in Certifikační autorita a klikněte na možnost Restartovat. Potom se opět pokuste vytvoření seznamu odvolaných certifikátů.
Chcete-li zkontrolovat správnou funkci publikování seznamu odvolaných certifikátů (CRL), proveďte na nedávno vystaveném certifikátu koncové entity (uživatel nebo počítač) následující postup:
Otevřete okno příkazového řádku na počítači připojeném k síti.
Napište certutil -url <cert.cer> a stiskněte ENTER.
Místo <cert.cer> zadejte název souboru certifikátu, který jste vytvořili při exportu certifikátu pomocí Průvodce exportem certifikátu.
V otevřeném dialogovém okně v oblasti Načíst, klikněte na Seznamy CRL (z objektu CDP) a klikněte na Načíst.
Zkontrolujte, zda je u všech načtených distribučních míst seznamu odvolaných certifikátů uveden stav Ověřeno.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 130 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.130" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">130</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDb3b9fe42f7824bf4af39db5341eb162d"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>