Sertifika Hizmetleri, aşırı uzun bir sertifika isteğini işlemeyi reddetti.
Sertifika yetkilisi (CA) erişim denetimi izinleri, yetkili bileşenlerin ve kullanıcıların gerekli görevleri tamamlayabilmesini sağlar. Erişim denetimi hataları, izinlerin yetersiz ve uygunsuz kullanımıyla ilişkili olası sorunları tanımlayabilir.
Uzun sertifika isteği gönderme girişimini ele alma
Aşırı uzun sertifika istekleri, bir hizmet reddi saldırısı başlatma girişimini temsil edebilir.
Kaynak, olay günlüğü iletisinde tanımlanmalıdır. Ayrıca, başka olağan dışı sertifika istekleri olup olmadığını tespit etmek için tüm başarısız sertifika istekleriyle ilgili bilgileri gözden geçirmeniz gerekir.
Bu olası sorunu ele almak için:
Başarısız isteğin bilinen veya güvenilen bir kaynaktan gelip gelmediğini belirlemek için başarısız sertifika isteklerini gözden geçirin.
İstek hatayla reddedilmişse, kayıt defterindeki MaxIncomingMessageSize ayarını daha büyük sertifika isteklerine izin verecek şekilde değiştirin.
İstek hatayla reddedilmemişse, isteğin kaynağını tanımlayın ve bu kaynaktan istek gönderilmesini engelleyin.
Bu yordamları gerçekleştirmek için yerel Administrators grubunun üyesi olmanız veya uygun yetkinin size verilmiş olması gerekir.
Başarısız sertifika isteklerini gözden geçirin
Başarısız sertifika isteklerini gözden geçirmek için:
CA'yı barındıran bilgisayarda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Sertifika Yetkilisi'ne tıklayın.
Başarısız İstekler klasöründe bulunan başarısız istekleri inceleyin ve isteğin güvenilen bir kaynaktan gelip gelmediğini belirleyin.
Ayrıca, bir komut istemi penceresi açıp şu komutu çalıştırabilirsiniz: certutil -view LogFail.
İstek geçerli bir kaynaktan gelmiş, ancak çok büyük olduğu için reddedilmişse, aşağıdaki yordamı kullanarak maksimum ileti boyutunu artırabilir veya sertifika isteği sahibinin yeni bir sertifika isteği göndermesini sağlayabilirsiniz.
Maksimum ileti boyutunu değiştirin
Varsayılan maksimum ileti boyutu ayarı 10.000 bayttır. Önceki yordamda başarısız sertifika isteklerini gözden geçirirken, bu değeri aştığı için reddedilen geçerli sertifika istekleri tespit ederseniz, kayıt defteri ayarını benzer isteklerin başarılı olmasına izin verecek bir değere yükseltmeyi düşünün.
Maksimum ileti boyutunu değiştirmek için:
Dikkat: Kayıt defterini yanlış şekilde düzenlemek sisteminize önemli ölçüde hasar verebilir. Kayıt defterinde değişiklik yapmadan önce değerli verilerinizin yedeğini almanız gerekir.
CA'yı barındıran bilgisayar üzerinde, Başlat'a tıklayın, cmd yazın ve ENTER tuşuna basın.
certutil -setreg CA\MaxIncomingMessageSize <byte> yazın ve ENTER tuşuna basın.
CA oturum açma bağlamının doğru olduğunu onaylamak için:
CA'yı barındıran bilgisayarda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Hizmetler'e tıklayın.
Active Directory Sertifika Hizmetleri hizmetine ait Durum öğesinde Başlatıldı sözcüğünün göründüğünü onaylayın.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 60 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.60" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">60</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDf35538bb2517423d95f7d32e661b5ffa"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>