A CertificationAuthority forrással rendelkező és 48-es azonosítójú esemény gyűjtési szabálya

Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.48 (Rule)

A visszavonás nem ellenőrizhető

Knowledge Base article:

Összefoglalás

A lánc- vagy útvonalérvényesítés az a folyamat, amely során a végfelhasználó (felhasználó vagy számítógép) tanúsítványait és az összes hitelesítésszolgáltatói tanúsítványt hierarchikusan feldolgozza a rendszer a tanúsítványlánc végén található megbízható, önaláírt tanúsítványig. Ez általában egy legfelső szintű hitelesítésszolgáltatói tanúsítvány. Az Active Directory Tanúsítványszolgáltatás (AD CS) indítása sikertelen lehet, ha problémák vannak a hitelesítésszolgáltatói tanúsítvány rendelkezésre állásával, érvényességével vagy láncérvényesítésével.

Megoldások

Érvényes hitelesítésszolgáltatói tanúsítvány és lánc betöltése és megerősítése

A tanúsítványlánc érvényesítésének megkezdéséhez ellenőriznie kell az érvényes hitelesítésszolgáltatói tanúsítvány elérhetőségét. Az érvényes hitelesítésszolgáltatói tanúsítvány megkeresésével kapcsolatos problémák elhárításához ellenőrizze a következőket:

A hitelesítésszolgáltatást üzemeltető számítógépen elérhető egy érvényes hitelesítésszolgáltatói tanúsítvány.
Létezik egy érvényes hitelesítésszolgáltatói tanúsítvány az AIA tárolóban.
A hitelesítésszolgáltatói tanúsítványlánc érvényesíthető.
Ha a láncban egy hitelesítésszolgáltató visszavont tanúsítványainak listája lejárt, a rendszer létrehozza a visszavont tanúsítványok új listáját.

A műveleteket akkor hajthatja végre, ha rendelkezik hitelesítésszolgáltató-kezelési engedéllyel, vagy delegálás útján megkapta a megfelelő jogosultságokat.

Annak ellenőrzése, hogy a hitelesítésszolgáltatót üzemeltető számítógépen megtalálható-e egy érvényes hitelesítésszolgáltatói tanúsítvány

Annak ellenőrzése, hogy a hitelesítésszolgáltatást üzemeltető számítógépen elérhető érvényes hitelesítésszolgáltatói tanúsítvány:

Kattintson a Start gombra, írja be az mmc parancsot, majd nyomja le az ENTER billentyűt.
Ha megjelenik a Felhasználói fiókok felügyelete párbeszédpanel, erősítse meg, hogy valóban az abban megjelenített műveletet szeretné végrehajtani, majd kattintson a Folytatás gombra.
Kattintson a Fájl menü Beépülő modul hozzáadása/eltávolítása parancsára, kattintson a Tanúsítványok elemre, majd a Hozzáadás gombra.
Kattintson a Számítógépfiók elemre, majd kattintson a Tovább gombra.
Kattintson a Befejezés gombra, majd kattintson az OK gombra.
A konzolfán kattintson a Tanúsítványok (helyi számítógép) elemre, majd kattintson a Személyes gombra.
Ellenőrizze meg, hogy a tárolóban található hitelesítésszolgáltatói tanúsítvány nem járt-e le.

Annak ellenőrzése, hogy létezik-e érvényes hitelesítésszolgáltatói tanúsítvány az AIA tárolóban

Annak ellenőrzése, hogy létezik-e érvényes hitelesítésszolgáltatói tanúsítvány az AIA tárolóban:

Kattintson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory – helyek és szolgáltatások lehetőségre.
Kattintson az Active Directory – helyek és szolgáltatások [tartománynév] lehetőségre.
A Nézet menüben kattintson a Szolgáltatás megjelenítése lehetőségre.
Kattintson duplán a Szolgáltatások lehetőségre, majd a Nyilvánoskulcs-szolgáltatások lehetőségre, és kattintson az AIA elemre.
Ellenőrizze meg, hogy az AIA tárolóban található hitelesítésszolgáltatói tanúsítvány nem járt-e le.

A hitelesítésszolgáltatói tanúsítványlánc érvényesítése

A hitelesítésszolgáltatói tanúsítványlánc érvényesítése:

Nyisson meg egy parancsablakot.
Írja be a certutil -urlfetch -verify parancsot a hitelesítésszolgáltatói tanúsítványra vonatkozóan, majd nyomja le az ENTER billentyűt.
Győződjön meg arról, hogy az AIA tároló és a CRL lista terjesztési pontjának hálózati helyei elérhetőek, a láncban az összes tanúsítvány érvényes és nincs visszavonva, és a visszavont tanúsítványok érvényes listái elérhetők.
Ha az AIA vagy a CRL terjesztési pontjának helyei nem érhetők el, azonosítsa és oldja meg a problémát, amely megakadályozza az elérésüket.
Ha a láncban bármelyik tanúsítvány lejárt vagy vissza lett vonva, újítsa meg ezeket a tanúsítványokat. Ha egy hitelesítésszolgáltatói tanúsítványt újra ki kell adni, a láncban a tanúsítvány alatti összes tanúsítványt is újra ki kell adni.
Ha a láncban egy hitelesítésszolgáltató visszavont tanúsítványainak listája lejárt, hozzon létre új kiindulási és különbözeti CRL listákat ezen a hitelesítésszolgáltatón, és másolja őket a megfelelő helyekre.
Ha a hitelesítésszolgáltató offline módban van, előfordulhat, hogy újra kell indítania.

Visszavont tanúsítványok listáinak ellenőrzése és közzététele

Visszavont tanúsítványok listáinak ellenőrzése és, ha szükséges, új listák közzététele:

A probléma forrását képező hitelesítésszolgáltatón ellenőrizze a visszavont tanúsítványok aktuálisan közzétett listáját, amely alapértelmezés szerint a %windir%\System32\CertSrv\CertEnroll mappában található.
Ha a jelenleg az ezen a helyen található visszavont tanúsítványok listái lejártak vagy érvénytelenek, nyisson meg egy parancsablakot, írja be a certutil -CRL parancsot, és nyomja le az ENTER billentyűt a visszavont tanúsítványok új listájának közzétételéhez.

Új kiindulási és különbözeti CRL listák létrehozása:

A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, mutasson a Felügyeleti eszközök elemre, és válassza a Hitelesítésszolgáltató lehetőséget.
A konzolfán kattintson duplán a Visszavont tanúsítványok elemre.
Mutasson a Művelet menü Minden feladat pontjára, majd kattintson a Közzététel lehetőségre.
Az Új CRL kiválasztásával felülírhatja a korábban közzétett CRL listát, a Különbözeti CRL kiválasztásával pedig közzéteheti a jelenlegi különbözeti CRL listát.

Visszavont tanúsítványok listájának létrehozása a Certutil parancssori eszközzel:

A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, írja be a cmd parancsot, majd nyomja le az ENTER billentyűt.
Írja be a certutil -CRL parancsot, és nyomja le az ENTER billentyűt.

Visszavont tanúsítványok listájának közzététele az Active Directory tartományi szolgáltatásokban a Certutil parancssori eszközzel:

Nyisson meg egy parancsablakot.
Írja be a certutil -dspublish "<crlnév.crl>" ldap:///CN=<CA-név>,CN=<CA-gazdagép neve>,CN=CDP,CN=Public Key Services,CN=Ser vices,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint parancsot, majd nyomja le az ENTER billentyűt.

Cserélje le a crlname.crl fájlnevet a visszavont tanúsítványok saját listáját tartalmazó fájl nevével, a hitelesítésszolgáltató nevét és a hitelesítésszolgáltató gazdagépének nevét a saját hitelesítésszolgáltató nevével és azon gazdagép nevével, amelyen az fut, és a contoso és com paramétereket a saját Active Directory tartomány névterével.

További tudnivalók

A hitelesítésszolgáltatói tanúsítvány és lánc érvényességének megerősítése:

A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, írja be az mmc parancsot, majd nyomja le az ENTER billentyűt.
Ha megjelenik a Felhasználói fiókok felügyelete párbeszédpanel, erősítse meg, hogy valóban az abban megjelenített műveletet szeretné végrehajtani, majd kattintson a Folytatás gombra.
Kattintson a Fájl menü Beépülő modul hozzáadása/eltávolítása parancsára, kattintson a Tanúsítványok elemre, majd a Hozzáadás gombra.
Kattintson a Számítógépfiók elemre, majd kattintson a Tovább gombra.
Kattintson a Befejezés gombra, majd az OK gombra.
A konzolfán kattintson a Tanúsítványok (helyi számítógép) elemre, majd kattintson a Személyes gombra.
Ellenőrizze meg, hogy a tárolóban található hitelesítésszolgáltatói tanúsítvány nem járt-e le.
Kattintson a jobb gombbal a tanúsítványra, és válassza az Exportálás lehetőséget a Tanúsítványexportáló varázsló indításához.
Exportálja a tanúsítványt egy Cert.cer nevű fájlba.
Írja be a Start szót, írja be a cmd parancsot, majd nyomja le az ENTER billentyűt.
Írja be a certutil -urlfetch -verify <tanúsítvány.cer> parancsot, majd nyomja le az ENTER billentyűt.
Ha a rendszer nem jelent érvényesítési, lánckészítési vagy visszavonás-ellenőrzési hibát, a lánc érvényes.

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.2016

Category

EventCollection

Enabled

True

Event_ID

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

AD CS – hitelesítésszolgáltatói tanúsítvány és lánc érvényesítése: a tanúsítvány-visszavonás offline üzemmódban van

Esemény leírása: {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.48" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">48</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageIDd13dac2d6ac94865acec24b7e96ddef5"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>