Sertifika Hizmetleri bir sertifika iptal listesi (CRL) oluşturamadı.
İstemcilere bir sertifikaya güvenip güvenmesi için gerek duyduğu bilgileri sağlamak, bir sertifika yetkilisinin (CA) ve ortak anahtar altyapısının (PKI) en önemli güvenlik işlevlerinden biridir. Yönetici için bu, zamanlanan süre bitimi tarihlerine ulaşmamış güvenilmeyen sertifikaları hızlıca iptal etmek ve bu bilgileri sertifika iptal listelerinde (CRL'ler) yayımlamak anlamına gelmektedir. CRL yayımlama ve kullanılabilirliği ile ilgili sorunlarının izlenmesi ve ele alınması, PKI güvenliğinin kritik bir özelliğidir.
Sertifika iptal listesi oluşturma
Active Directory Sertifika Hizmetleri (AD CS), bu sertifika yetkilisi (CA) tarafından verilen sertifikaların iptal durumunu denetlemesi gereken uygulamaların başarısız olmasına neden olabilecek şekilde bir sertifika iptal listesi (CRL) oluşturamadı.
Olay günlüğü iletisi, CRL oluşturma hatasına ilişkin daha ayrıntılı bilgiler içerecektir. Bu sorunu düzeltmek için:
Olay günlüğü iletisinde listelenen tüm sorunları düzeltin.
El ile bir CRL oluşturmayı deneyin.
Bu yordamı gerçekleştirmek için CA'yı Yönet izinlerine sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.
CRL oluşturun
Sertifika Yetkilisi ek bileşenini kullanarak el ile bir CRL oluşturmak için:
CA'yı barındıran bilgisayarda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Sertifika Yetkilisi'ne tıklayın.
Konsol ağacında İptal Edilen Sertifikalar'a tıklayın.
Eylem menüsünde, Tüm Görevler'in üzerine gidin ve Yayımla'ya tıklayın.
Önceden yayımlanmış CRL'nin üzerine yazmak için Yeni CRL'yi seçin veya geçerli delta CRL'yi yayımlamak için Yalnızca Delta CRL'yi seçin.
Tamam'a tıklayın.
Certutil komut satırı aracını kullanarak el ile bir CRL oluşturmak için:
CA'yı barındıran bilgisayar üzerinde Başlat'a tıklayın, cmd yazın ve ENTER tuşuna basın.
certutil -CRL yazın ve ENTER tuşuna basın.
El ile CRL oluşturma girişimleri başarısız olursa, Sertifika Yetkilisi ek bileşeninde CA adını seçin ve Yeniden Başlat'a tıklayın. Sonra, CRL'yi tekrar oluşturmayı deneyin.
Sertifika iptal listesi (CRL) yayımlamanın doğru şekilde çalıştığını onaylamak için, yakın zamanda verilmiş bir son varlık (kullanıcı veya bilgisayar) sertifikası üzerinde aşağıdaki yordamı gerçekleştirin:
Ağa bağlı bir bilgisayar üzerinde bir komut istemi penceresi açın.
certutil -url <cert.cer> yazın ve ENTER tuşuna basın.
<cert.cer> ifadesini Sertifika Dışarı Aktarma Sihirbazı'nı kullanıp sertifikayı dışarı aktararak oluşturduğunuz sertifika dosyasının adıyla değiştirin.
Görünen iletişim kutusunda, Al öğesinin altında, CRL'ler (CDP'den) ve Al öğelerine tıklayın.
Alınan tüm CRL dağıtım noktalarının durumunun Doğrulandı olarak listelendiğini onaylayın.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 130 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.130" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">130</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDb3b9fe42f7824bf4af39db5341eb162d"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>