İptal denetlenemiyor
Zincir veya yol doğrulama, sertifika zincirinin güvenilen, otomatik olarak imzalanan bir sertifikada sonlandırılmasına kadar, son varlık (kullanıcı veya bilgisayar) sertifikalarının ve tüm sertifika yetkilisi (CA) sertifikalarının hiyerarşik olarak işlenmesi için kullanılan işlemdir. Genellikle bu bir kök CA sertifikasıdır. CA sertifikasına ilişkin kullanılabilirlik, geçerlilik ve zincir doğrulama sorunları varsa, Active Directory Sertifika Hizmetleri'nin (AD CS) başlatılması başarısız olabilir.
Geçerli bir CA sertifikasını ve zinciri yükleme ve onaylama
Sertifika zinciri doğrulamanın gerçekleşmesi için, geçerli bir sertifika yetkilisi (CA) sertifikasının erişilebilir olduğunu onaylamanız gerekir. Geçerli bir CA sertifikası bulmaya ilişkin sorunları aşağıdaki koşulları onaylayarak çözebilirsiniz:
CA'yı barındıran bilgisayar üzerinde geçerli bir CA sertifikası kullanılabilir durumdadır.
AIA kapsayıcısında geçerli bir CA sertifikası vardır.
CA sertifika zinciri doğrulanabilmektedir.
Zincirdeki bir CA'ya yönelik bir sertifika iptal listesinin (CRL) süresi bitmişse, yeni bir CRL oluşturulur.
Bu yordamları gerçekleştirmek için CA'yı Yönet izinlerine sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.
CA'yı barındıran bilgisayar üzerinde geçerli bir CA sertifikasının mevcut olduğunu onaylayın
CA'yı barındıran bilgisayar üzerinde geçerli bir CA sertifikasının kullanılabilir durumda olduğunu onaylamak için:
Başlat'a tıklayın, mmc yazın ve sonra ENTER tuşuna basın.
Kullanıcı Hesabı Denetimi iletişim kutusu görüntülenirse, burada görüntülenen eylemin istediğiniz eylem olduğunu doğrulayın ve sonra Devam'a tıklayın.
Dosya menüsünde, Ek Bileşen Ekle/Kaldır'a tıklayın, Sertifikalar'a tıklayın ve sonra Ekle'ye tıklayın.
Bilgisayar hesabına ve İleri'ye tıklayın.
Son'a ve Tamam'a tıklayın.
Konsol ağacında, Sertifikalar (Yerel Bilgisayar) seçeneğine ve Kişisel'e tıklayın.
Bu depoda süresi bitmemiş bir CA sertifikasının var olduğunu onaylayın.
AIA kapsayıcısında geçerli bir CA sertifikasının mevcut olduğunu onaylayın
AIA kapsayıcısında geçerli bir CA sertifikasının var olduğunu onaylamak için:
Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Active Directory Siteleri ve Hizmetleri'ne tıklayın.
Active Directory Siteleri ve Hizmetleri [etkialanıadı] öğesine tıklayın.
Görünüm menüsünde, Hizmet Düğümünü Göster'e tıklayın.
Hizmetler'e çift tıklayın, Ortak Anahtar Hizmetleri'ne çift tıklayın ve AIA'ya tıklayın.
AIA kapsayıcısında süresi bitmemiş bir CA sertifikasının var olduğunu onaylayın.
CA sertifika zincirini doğrulayın
Bir CA sertifika zincirini doğrulamak için:
Bir komut istemi penceresi açın.
CA sertifikası üzerinde certutil -urlfetch -verify yazın ve ENTER tuşuna basın.
AIA kapsayıcısının ve CRL dağıtım noktası ağ konumlarının kullanılabilir olduğunu, zincirdeki tüm sertifikaların geçerli ve iptal edilmemiş olduğunu ve geçerli CRL'lerin kullanılabilir olduğunu onaylayın.
AIA veya CRL dağıtım noktası konumları kullanılabilir değilse, bu öğelere erişilmesini engelleyen sorunu tanımlayın ve çözün.
Zincirdeki sertifikalardan herhangi birinin süresinin bitmiş veya iptal edilmiş olması durumunda, söz konusu sertifikayı yenileyin. Bir CA sertifikasının yeniden verilmesi gerekiyorsa, zincirde bu sertifika altındaki tüm sertifikaların yeniden verilmesi gerekecektir.
Zincirdeki bir CA'ya yönelik bir CRL'nin süresi bitmişse, bu CA üzerinde yeni temel ve delta CRL'ler oluşturun ve bunları gerekli konumlara kopyalayın.
CA çevrimdışıysa, yeniden başlatmanız gerekebilir.
CRL'leri denetleyin ve yayımlayın
Yeni CRL'leri denetlemek ve gerekiyorsa yayımlamak için:
Sorunun kaynağı olan CA'da, varsayılan olarak %windir%\System32\CertSrv\CertEnroll klasöründe oluşturulan yayımlanmış geçerli CRL'yi denetleyin.
Geçerli olarak bu konumda bulunan CRL'lerin süresinin bitmiş veya geçersiz olması durumunda, yeni bir CRL yayımlamak için bir komut istemi penceresi açın, certutil -CRL yazın ve ENTER tuşuna basın.
Yeni temel ve delta CRL'ler oluşturmak için:
CA'yı barındıran bilgisayarda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Sertifika Yetkilisi'ni seçin.
Konsol ağacında İptal Edilen Sertifikalar'a tıklayın.
Eylem menüsünde, Tüm Görevler'in üzerine gidin ve Yayımla'ya tıklayın.
Önceden yayımlanmış CRL'nin üzerine yazmak için Yeni CRL'yi seçin veya geçerli delta CRL'yi yayımlamak için Yalnızca Delta CRL'yi seçin.
Certutil komut satırı aracını kullanarak bir CRL oluşturmak için:
CA'yı barındıran bilgisayar üzerinde Başlat'a tıklayın, cmd yazın ve ENTER tuşuna basın.
certutil -CRL yazın ve ENTER tuşuna basın.
Certutil komut satırı aracını kullanarak CRL'leri AD DS'ye yayımlamak için:
Bir komut istemi penceresi açın.
certutil -dspublish "<crlname.crl>" ldap:///CN=<CA adı>,CN=<CA ana bilgisayar adı>,CN=CDP,CN=Public Key Services,CN=Ser vices,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint yazın ve ENTER tuşuna basın.
crlname.crl ifadesini CRL dosyanızın adıyla, CA adı ve CA ana bilgisayar adını CA'nızın adı ve bu CA'nın çalıştırıldığı ana bilgisayarın adıyla ve contoso ve com öğelerini de Active Directory etki alanınızın ad alanıyla değiştirin.
Sertifika yetkilisi (CA) sertifikasının ve zincirin geçerli olduğunu onaylamak için:
CA'yı barındıran bilgisayar üzerinde, Başlat'a tıklayın, mmc yazın ve sonra ENTER tuşuna basın.
Kullanıcı Hesabı Denetimi iletişim kutusu görüntülenirse, kutuda görüntülenen eylemin istediğiniz eylem olduğunu doğrulayın ve ardından Devam'a tıklayın.
Dosya menüsünde, Ek Bileşen Ekle/Kaldır'a tıklayın, Sertifikalar'a tıklayın ve sonra Ekle'ye tıklayın.
Bilgisayar hesabı öğesine ve İleri'ye tıklayın.
Son'a ve sonra Tamam'a tıklayın.
Konsol ağacında, Sertifikalar'a (Yerel Bilgisayar) ve sonra Kişisel'e tıklayın.
Bu depoda süresi bitmemiş bir CA sertifikasının var olduğunu onaylayın.
Bu sertifikaya sağ tıklayın ve Sertifika Dışa Aktarma Sihirbazı'nı başlatmak için Dışa Aktar öğesini seçin.
Sertifikayı, Cert.cer adlı bir dosya olarak dışa aktarın.
Start yazın, cmd yazın ve ENTER tuşuna basın.
certutil -urlfetch -verify <cert.cer> yazın ve ENTER tuşuna basın.
Herhangi bir doğrulama, zincir oluşturma veya iptal denetimi hatası bildirilmezse, zincir geçerlidir.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 49 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.49" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">49</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID73782f4f349a427595c46cb8896563ed"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>