Los servicios de certificados han regresado a los valores de publicación de la lista de revocación de certificados (CRL) predeterminada.
Proporcionar a los clientes la información que necesitan para determinar si un certificado es de confianza es una de las funciones de seguridad más importantes de una entidad de certificación (CA) y una infraestructura de clave pública (PKI). Para los administradores esto equivale a revocar con rapidez aquellos certificados que no son de confianza y que no han alcanzado las fechas de expiración programadas, y publicar esta información en las listas de revocación de certificados (CRL). La supervisión y la solución de problemas relacionados con la publicación y la disponibilidad de las CRL es un aspecto muy importante de la seguridad de PKI.
Configurar AD CS para usar valores de publicación CRL especificados por el usuario
Los Servicios de servidor de certificados de Active Directory (AD CS) se están ejecutando, pero están empleando la configuración del periodo de publicación de la lista de revocación de certificados (CRL) predeterminada en lugar de los valores especificados por el usuario. Para solucionar este error:
Compruebe y, si es necesario, corrija la configuración de publicación de CRL.
Si es necesario, modifique las claves de Registro de CRL.
Comprobación y corrección de la configuración de publicación de CRL
Para llevar a cabo este procedimiento debe disponer de permiso para administrar CA o haber delegado la autoridad adecuada.
Para comprobar y corregir la configuración de publicación:
En el equipo donde se hospede la CA, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Entidad de certificación.
Haga clic con el botón secundario en Certificados revocados y seleccione Propiedades.
Observe los intervalos de publicación de CRL y de diferencias entre listas CRL que se muestran.
Si una de estas configuraciones no es válida, use el procedimiento Modificar la configuración del Registro de CRL para configurar una opción válida.
Para usar la herramienta de línea de comandos Certutil para determinar la configuración de publicación de CRL definida:
En el equipo donde se hospeda la CA, haga clic en Inicio, escriba cmd y presione ENTRAR.
Escriba certutil -getreg ca\crlperiod* y presione ENTRAR y, a continuación, escriba certutil -getreg ca\crldeltaperiod* y presione ENTRAR.
Si una de estas configuraciones no es válida, use el siguiente procedimiento para configurar una opción válida.
Modificación de las claves del Registro de CRL
Para llevar a cabo este procedimiento debe ser miembro del grupo local Administradores o haber delegado la autoridad adecuada.
Para configurar claves del Registro válidas:
Precaución: La modificación incorrecta del Registro puede dañar gravemente el sistema. Antes de realizar cambios en el Registro, haga una copia de seguridad de los datos importantes.
En el equipo donde se hospeda la CA, haga clic en Inicio, escriba regedit y, a continuación, presione ENTRAR.
Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\ Configuration\Nombre de entidad de certificación.
Escriba valores de Registro válidos para CRLPeriod y CRLDeltaPeriod. Son valores válidos Years, Months, Weeks, Days, u Hours.
Escriba valores de Registro válidos para CRLPeriodUnits y CRLDeltaPeriodUnits. Son valores válidos los números enteros (1, 15, o 31, por ejemplo).
Nota: El texto nombre de entidad de certificación en la clave del Registro real será sustituido por el nombre de su CA.
Para confirmar que la publicación de listas de revocación de certificados (CRL) funciona correctamente, realice el procedimiento siguiente en un certificado de entidad final (usuario o equipo) que se haya emitido recientemente:
Abra una ventana del símbolo del sistema en un equipo que esté conectado a la red.
Escriba certutil -url <cert.cer> y pulse ENTRAR.
Sustituya <cert.cer> con el nombre de un archivo de certificado que ha creado al exportar un certificado mediante el Asistente para exportación de certificados.
En el cuadro de diálogo que aparece, debajo de Recuperar, haga clic en CRLs (desde CDP) y, a continuación, en Recuperar.
Confirme que todos los puntos de distribución de CRL estén verificados.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 62 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.62" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">62</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>