A visszavonás nem ellenőrizhető
A lánc- vagy útvonalérvényesítés az a folyamat, amely során a végfelhasználó (felhasználó vagy számítógép) tanúsítványait és az összes hitelesítésszolgáltatói tanúsítványt hierarchikusan feldolgozza a rendszer a tanúsítványlánc végén található megbízható, önaláírt tanúsítványig. Ez általában egy legfelső szintű hitelesítésszolgáltatói tanúsítvány. Az Active Directory Tanúsítványszolgáltatás (AD CS) indítása sikertelen lehet, ha problémák vannak a hitelesítésszolgáltatói tanúsítvány rendelkezésre állásával, érvényességével vagy láncérvényesítésével.
Érvényes hitelesítésszolgáltatói tanúsítvány és lánc betöltése és megerősítése
A tanúsítványlánc érvényesítésének megkezdéséhez ellenőriznie kell az érvényes hitelesítésszolgáltatói tanúsítvány elérhetőségét. Az érvényes hitelesítésszolgáltatói tanúsítvány megkeresésével kapcsolatos problémák elhárításához ellenőrizze a következőket:
A hitelesítésszolgáltatást üzemeltető számítógépen elérhető egy érvényes hitelesítésszolgáltatói tanúsítvány.
Létezik egy érvényes hitelesítésszolgáltatói tanúsítvány az AIA tárolóban.
A hitelesítésszolgáltatói tanúsítványlánc érvényesíthető.
Ha a láncban egy hitelesítésszolgáltató visszavont tanúsítványainak listája lejárt, a rendszer létrehozza a visszavont tanúsítványok új listáját.
A műveleteket akkor hajthatja végre, ha rendelkezik hitelesítésszolgáltató-kezelési engedéllyel, vagy delegálás útján megkapta a megfelelő jogosultságokat.
Annak ellenőrzése, hogy a hitelesítésszolgáltatót üzemeltető számítógépen megtalálható-e egy érvényes hitelesítésszolgáltatói tanúsítvány
Annak ellenőrzése, hogy a hitelesítésszolgáltatást üzemeltető számítógépen elérhető érvényes hitelesítésszolgáltatói tanúsítvány:
Kattintson a Start gombra, írja be az mmc parancsot, majd nyomja le az ENTER billentyűt.
Ha megjelenik a Felhasználói fiókok felügyelete párbeszédpanel, erősítse meg, hogy valóban az abban megjelenített műveletet szeretné végrehajtani, majd kattintson a Folytatás gombra.
Kattintson a Fájl menü Beépülő modul hozzáadása/eltávolítása parancsára, kattintson a Tanúsítványok elemre, majd a Hozzáadás gombra.
Kattintson a Számítógépfiók elemre, majd kattintson a Tovább gombra.
Kattintson a Befejezés gombra, majd kattintson az OK gombra.
A konzolfán kattintson a Tanúsítványok (helyi számítógép) elemre, majd kattintson a Személyes gombra.
Ellenőrizze meg, hogy a tárolóban található hitelesítésszolgáltatói tanúsítvány nem járt-e le.
Annak ellenőrzése, hogy létezik-e érvényes hitelesítésszolgáltatói tanúsítvány az AIA tárolóban
Annak ellenőrzése, hogy létezik-e érvényes hitelesítésszolgáltatói tanúsítvány az AIA tárolóban:
Kattintson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory – helyek és szolgáltatások lehetőségre.
Kattintson az Active Directory – helyek és szolgáltatások [tartománynév] lehetőségre.
A Nézet menüben kattintson a Szolgáltatás megjelenítése lehetőségre.
Kattintson duplán a Szolgáltatások lehetőségre, majd a Nyilvánoskulcs-szolgáltatások lehetőségre, és kattintson az AIA elemre.
Ellenőrizze meg, hogy az AIA tárolóban található hitelesítésszolgáltatói tanúsítvány nem járt-e le.
A hitelesítésszolgáltatói tanúsítványlánc érvényesítése
A hitelesítésszolgáltatói tanúsítványlánc érvényesítése:
Nyisson meg egy parancsablakot.
Írja be a certutil -urlfetch -verify parancsot a hitelesítésszolgáltatói tanúsítványra vonatkozóan, majd nyomja le az ENTER billentyűt.
Győződjön meg arról, hogy az AIA tároló és a CRL lista terjesztési pontjának hálózati helyei elérhetőek, a láncban az összes tanúsítvány érvényes és nincs visszavonva, és a visszavont tanúsítványok érvényes listái elérhetők.
Ha az AIA vagy a CRL terjesztési pontjának helyei nem érhetők el, azonosítsa és oldja meg a problémát, amely megakadályozza az elérésüket.
Ha a láncban bármelyik tanúsítvány lejárt vagy vissza lett vonva, újítsa meg ezeket a tanúsítványokat. Ha egy hitelesítésszolgáltatói tanúsítványt újra ki kell adni, a láncban a tanúsítvány alatti összes tanúsítványt is újra ki kell adni.
Ha a láncban egy hitelesítésszolgáltató visszavont tanúsítványainak listája lejárt, hozzon létre új kiindulási és különbözeti CRL listákat ezen a hitelesítésszolgáltatón, és másolja őket a megfelelő helyekre.
Ha a hitelesítésszolgáltató offline módban van, előfordulhat, hogy újra kell indítania.
Visszavont tanúsítványok listáinak ellenőrzése és közzététele
Visszavont tanúsítványok listáinak ellenőrzése és, ha szükséges, új listák közzététele:
A probléma forrását képező hitelesítésszolgáltatón ellenőrizze a visszavont tanúsítványok aktuálisan közzétett listáját, amely alapértelmezés szerint a %windir%\System32\CertSrv\CertEnroll mappában található.
Ha a jelenleg az ezen a helyen található visszavont tanúsítványok listái lejártak vagy érvénytelenek, nyisson meg egy parancsablakot, írja be a certutil -CRL parancsot, és nyomja le az ENTER billentyűt a visszavont tanúsítványok új listájának közzétételéhez.
Új kiindulási és különbözeti CRL listák létrehozása:
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, mutasson a Felügyeleti eszközök elemre, és válassza a Hitelesítésszolgáltató lehetőséget.
A konzolfán kattintson duplán a Visszavont tanúsítványok elemre.
Mutasson a Művelet menü Minden feladat pontjára, majd kattintson a Közzététel lehetőségre.
Az Új CRL kiválasztásával felülírhatja a korábban közzétett CRL listát, a Különbözeti CRL kiválasztásával pedig közzéteheti a jelenlegi különbözeti CRL listát.
Visszavont tanúsítványok listájának létrehozása a Certutil parancssori eszközzel:
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, írja be a cmd parancsot, majd nyomja le az ENTER billentyűt.
Írja be a certutil -CRL parancsot, és nyomja le az ENTER billentyűt.
Visszavont tanúsítványok listájának közzététele az Active Directory tartományi szolgáltatásokban a Certutil parancssori eszközzel:
Nyisson meg egy parancsablakot.
Írja be a certutil -dspublish "<crlnév.crl>" ldap:///CN=<CA-név>,CN=<CA-gazdagép neve>,CN=CDP,CN=Public Key Services,CN=Ser vices,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint parancsot, majd nyomja le az ENTER billentyűt.
Cserélje le a crlname.crl fájlnevet a visszavont tanúsítványok saját listáját tartalmazó fájl nevével, a hitelesítésszolgáltató nevét és a hitelesítésszolgáltató gazdagépének nevét a saját hitelesítésszolgáltató nevével és azon gazdagép nevével, amelyen az fut, és a contoso és com paramétereket a saját Active Directory tartomány névterével.
A hitelesítésszolgáltatói tanúsítvány és lánc érvényességének megerősítése:
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, írja be az mmc parancsot, majd nyomja le az ENTER billentyűt.
Ha megjelenik a Felhasználói fiókok felügyelete párbeszédpanel, erősítse meg, hogy valóban az abban megjelenített műveletet szeretné végrehajtani, majd kattintson a Folytatás gombra.
Kattintson a Fájl menü Beépülő modul hozzáadása/eltávolítása parancsára, kattintson a Tanúsítványok elemre, majd a Hozzáadás gombra.
Kattintson a Számítógépfiók elemre, majd kattintson a Tovább gombra.
Kattintson a Befejezés gombra, majd az OK gombra.
A konzolfán kattintson a Tanúsítványok (helyi számítógép) elemre, majd kattintson a Személyes gombra.
Ellenőrizze meg, hogy a tárolóban található hitelesítésszolgáltatói tanúsítvány nem járt-e le.
Kattintson a jobb gombbal a tanúsítványra, és válassza az Exportálás lehetőséget a Tanúsítványexportáló varázsló indításához.
Exportálja a tanúsítványt egy Cert.cer nevű fájlba.
Írja be a Start szót, írja be a cmd parancsot, majd nyomja le az ENTER billentyűt.
Írja be a certutil -urlfetch -verify <tanúsítvány.cer> parancsot, majd nyomja le az ENTER billentyűt.
Ha a rendszer nem jelent érvényesítési, lánckészítési vagy visszavonás-ellenőrzési hibát, a lánc érvényes.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 48 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.48" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">48</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDd13dac2d6ac94865acec24b7e96ddef5"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>