Insamlingsregel för händelse med källan CertificationAuthority och ID 49

Sammanfattning

Kedje- eller sökvägsvalidering är processen genom vilket slutenhetscertifikat (användare eller dator) och alla certifikatutfärdarcertifikat behandlas hierarkiskt tills certifikatkedjan avslutas vid betrott, självsignerat certifikat. Det är vanligtvis ett rot-CA-certifikat. Start av Active Directory-certifikattjänster (AD CS) kan misslyckas om det finns problem med CA-certifikatets tillgänglighet, giltighet eller kedjevalidering.

Lösningar

Läs in och bekräfta ett giltigt CA-certifikat och en giltig kedja

Du måste bekräfta att ett giltigt certifikatutfärdarcertifikat finns tillgängligt för att validering ska göras av certifikatkedjan. Du kan lösa problem med lokalisering av ett giltigt CA-certifikat genom att bekräfta att:

• Ett giltigt CA-certifikat finns tillgängligt på datorn som kör certifikatutfärdaren.

• Ett giltigt CA-certifikat finns i AIA-behållaren.

• CA-certifikatkedjan kan valideras.

• Om en certifikatåterkallningslista har upphört för en CA i kedjan genereras en ny CRL.

För att kunna utföra dessa procedurer måste du ha behörighet att hantera certifikatutfärdare, eller ha tilldelats lämplig auktoritet.

Bekräfta att ett giltigt CA-certifikat finns på datorn som kör certifikatutfärdaren

Bekräfta att ett giltigt CA-certifikat finns tillgängligt på datorn som kör certifikatutfärdaren:

• Klicka på Start, skriv mmc och tryck på RETUR.

• Om dialogrutan Kontroll av användarkonto visas bekräftar du att den åtgärd som visas är den du önskar och klickar på Fortsätt.

• Klicka på Lägg till/ta bort snapin i Arkiv-menyn, klicka på Certifikat och Lägg till.

• Klicka på Datorkonto och Nästa.

• Klicka på Slutför och OK.

• Klicka på Certifikat (lokal dator) i konsolträdet och sedan på Personlig.

• Bekräfta att ett CA-certifikat som inte har upphört finns i det här arkivet. 

Bekräfta att ett giltigt CA-certifikat finns i AIA-behållaren

Bekräfta att ett giltigt CA-certifikat finns i AIA-behållaren:

• Klicka på Start, peka på Administrationsverktyg och klicka på Active Directory-platser och -tjänster.

• Klicka på Active Directory-platser och -tjänster [domännamn].

• Klicka på Visa noden Tjänster i Visa-menyn.

• Dubbelklicka på Tjänster, dubbelklicka på Public Key Services och klicka på AIA.

• Bekräfta att ett CA-certifikat som inte har upphört finns AIA-behållaren.

Validera CA-certifikatkedjan

Validera CA-certifikatkedjan:

• Öppna ett kommandotolkfönster.

• Skriv certutil -urlfetch -verify på CA-certifikatet och tryck på RETUR.

• Bekräfta att AIA-behållaren och nätverksplatserna för CRL-distributionsplatserna finns tillgängliga, att alla certifikat i kedjan är giltiga och inte har återkallats och att giltiga CRL:er finns tillgängliga.

• Om AIA- eller CRL-distributionsplatserna inte finns tillgängliga identifierar och löser du problemet som förhindrar åtkomsten till dem.

• Om något certifikat i kedjan har upphört eller återkallats förnyar du det. Om ett CA-certifikat måste utfärdas på nytt måste även alla certifikat som följer efter det i kedjan utfärdas igen.

• Om en CRL för en CA i listan har upphört genererar du nya bas- och delta-CRL:er för denna CA och kopierar dem till de nödvändiga platserna.

• Om CA är offline måste du starta om den.

Kontrollera och publicera CRL:er

Kontrollera och, om nödvändigt, publicera nya CRL-listor:

• Kontrollera den aktuella publicerade listan över återkallade certifikat (skapas som standard i mappen %windir%\System32\CertSrv\CertEnroll) i den certifikatutfärdare där problemet uppstod.

• Om de nuvarande CRL:erna på denna plats har upphört eller är ogiltiga öppnar du ett kommandotolkfönster, skriver certutil -CRL och trycker på RETUR för att publicera en ny CRL.

Generera nya bas- och delta-CRL-listor:

• Klicka på Start på datorn som kör certifikatutfärdaren, peka på Administrationsverktyg och markera Certifikatutfärdare.

• Klicka på Återkallade certifikat i konsolträdet.

• Peka på Alla uppgifter i Åtgärdsmenyn och klicka på Publicera. 

• Välj Ny CRL för att skriva över den tidigare publicerade CRL:en, eller markera Endast delta-CRL för att publicera aktuell delta-CRL.

Skapa en CRL med Certutil-kommandoradsverktyget:

• Klicka på Start på datorn som kör certifikatutfärdaren, skriv cmd och tryck på RETUR.

• Skriv certutil -CRL och tryck på RETUR.

Publicera CRL:er på AD DS med Certutil-kommandoradsverktyget:

• Öppna ett kommandotolkfönster.

• Skriv certutil -dspublish "<crlname.crl>" ldap:///CN=<CA name>,CN=<CA hostname>,CN=CDP,CN=Public Key Services,CN=Ser vices,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint och tryck på RETUR.

Ersätt crlname.crl med namnet på din CRL-fil, CA-namnet och CA-värdnamnet med ditt CA-namn och namnet på värden där CA:n körs, och contoso och com med namnområdena för Active Directory-domänen.

Ytterligare

Bekräfta att certifikatutfärdarcertifikatet och kedjan är giltiga:

• Klicka på Start, skriv mmc och tryck på RETUR på datorn som kör certifikatutfärdaren.

• Om dialogrutan Kontroll av användarkonto visas bekräftar du att den åtgärd som visas är den du önskar och klickar på Fortsätt.

• På Arkiv-menyn klickar du på Lägg till/ta bort snapin, klickar på Certifikat och sedan på Lägg till.

• Klicka på Datorkonto och Nästa.

• Klicka på Slutför och OK.

• Klicka på Certifikat (lokal dator) i konsolträdet och sedan på Personlig.

• Bekräfta att ett CA-certifikat som inte har upphört finns i det här arkivet.

• Högerklicka på det här certifikatet och markera Exportera för att starta guiden Exportera certifikat.

• Exportera certifikatet till en fil men namnet Cert.cer.

• Skriv Start, cmd och tryck på RETUR.

• Skriv certutil -urlfetch -verify <cert.cer> och tryck på RETUR.

• Om inga fel rapporteras för validering, skapande av kedja eller återkallningskontroll är kedjan giltig.