Certifikační služba odmítla zpracovat mimořádně dlouhou žádost o certifikát.
Oprávnění k řízení přístupu certifikační autority (CA) zajišťují, že požadované úlohy mohou provádět pouze autorizované komponenty a uživatelé. Chyby řízení přístupu mohou identifikovat potenciální problémy související s nedostatečnými oprávněními nebo jejich nepřípustným použitím.
Vyřešte pokus o odeslání dlouhé žádosti o certifikát
Mimořádně dlouhé žádosti o certifikát mohou představovat pokus o zahájení útoku DoS.
Zdroj by měl být uveden ve zprávě protokolu událostí. Měli byste rovněž prověřit informace o všech chybných žádostech o certifikát a zjistit, zda se nevyskytly jiné neobvyklé žádosti o certifikát.
Postup řešení tohoto potenciálního problému:
Zkontrolujte chybné žádosti o certifikát a určete, zda chybná žádost pochází ze známého nebo důvěryhodného zdroje či nikoli.
Pokud byla žádost zamítnuta omylem, upravte nastavení MaxIncomingMessageSize v registru tak, aby byl umožněn větší počet žádostí o certifikát.
Nebyla-li žádost zamítnuta omylem, identifikujte zdroj žádosti a zabraňte odesílání žádostí z tohoto zdroje.
Abyste mohli provést tyto postupy, musíte být členem místní skupiny Správci, nebo musíte mít přiděleno příslušné oprávnění.
Zkontrolujte chybné žádosti o certifikát
Postup kontroly chybných žádostí o certifikát:
Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na možnost Certifikační autorita.
Zobrazte chybné žádosti ve složce Chybné žádosti a určete, zda pocházejí z důvěryhodného zdroje.
Můžete rovněž otevřít okno příkazového řádku a spustit následující příkaz: certutil -view LogFail.
Pokud žádost pochází z legitimního zdroje, ale byla zamítnuta, protože byla příliš velká, můžete pomocí následujícího postupu zvětšit maximální velikost zprávy, nebo požádat žadatele o certifikát o odeslání nové žádosti o certifikát.
Úprava maximální velikosti zprávy
Výchozí maximální velikost zprávy je nastavena na 10 000 bajtů. Pokud při zkoumání chybných žádostí o certifikát v předcházejícím postupu zjistíte legitimní žádosti o certifikát, které byly zamítnuty, protože jejich velikost překročila tuto hodnotu, zvažte zvětšení tohoto nastavení registru na hodnotu, která umožní úspěšné zpracování podobných žádostí.
Postup úpravy maximální velikosti zprávy:
Upozornění: Nesprávné úpravy registru mohou vážně poškodit počítač. Před provedením změn v registru byste měli zálohovat veškerá hodnotná data.
Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, zadejte příkaz cmd a stiskněte klávesu ENTER.
Zadejte příkaz certutil -setreg CA\MaxIncomingMessageSize <bajty> a stiskněte ENTER.
Postup ověření správnosti kontextu přihlášení certifikační autority:
Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Služby.
Zkontrolujte, zda se v položce Stav pro službu AD CS (Active Directory Certificate Services) zobrazuje slovo Spuštěno.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 60 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.60" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">60</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDf35538bb2517423d95f7d32e661b5ffa"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>