Les services de certificats ont restauré les valeurs de publication par défaut de la liste des certificats de révocation.
Fournir aux clients les informations dont ils ont besoin pour déterminer s'il faut faire confiance à un certificat est une des fonctions de sécurité les plus importantes d'une autorité de certification et d'une infrastructure à clé publique (PKI). Pour l'administrateur, ceci signifie qu'il faut révoquer rapidement des certificats non approuvés n'ayant pas atteint leur date d'expiration programmée et publier ces informations dans des listes de révocation de certificats. L'analyse et la correction de problèmes, associées à la publication de listes de révocation de certificats et à la disponibilité, sont un aspect critique de la sécurité PKI.
Configurer AD CS pour utiliser des valeurs de publication de liste de révocation de certificats spécifiées par l'utilisateur
Les services de certificats Active Directory (AD CS) sont exécutés mais utilisent des paramètres de période de publication de la liste de révocation de certificats par défaut au lieu des valeurs spécifiées par les utilisateurs. Pour corriger cette erreur :
Vérifiez et, si nécessaire, corrigez les paramètres de publication de la liste de révocation de certificats.
Si nécessaire; modifiez les clés de Registre de la liste de révocation de certificats.
Vérifier et corriger les paramètres de publication de la liste de révocation de certificats
Pour effectuer cette procédure, vous devez avoir une autorisation de Gérer l'autorité de certification ou l’autorité appropriée doit vous avoir été déléguée.
Pour vérifier et corriger des paramètres de publication corrects :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Autorité de certification.
Cliquez avec le bouton droit sur Certificats révoqués et cliquez sur Propriétés.
Notez les intervalles de publication de la liste de révocation de certificats et de la liste de révocation de certificats delta.
Si un des paramètres n'est pas valide, utilisez la procédure « Modifier les paramètres du Registre de la liste de révocation de certificats » pour configurer un paramètre valide.
Pour utiliser l'outil en ligne de commande Certutil pour déterminer les paramètres de publication de la liste de révocation de certificats configurés :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, entrez cmd, puis appuyez sur ENTRÉE.
Tapez certutil -getreg ca\crlperiod* et appuyez sur ENTRÉE, puis tapez certutil -getreg ca\crldeltaperiod* et appuyez sur ENTRÉE.
Si un de ces paramètres n'est pas valide, utilisez la procédure suivante pour configurer un paramètre valide.
Modifier les clés de Registre de la liste de révocation de certificats
Pour effectuer cette procédure, vous devez être membre du groupe Administrateurs local ou l’autorité appropriée doit vous avoir été déléguée.
Pour définir des clés de Registre valides :
Attention : Toute modification incorrecte du Registre peut endommager gravement votre système. Avant d'apporter des modifications au Registre, sauvegardez toutes vos données importantes.
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, entrez regedit, puis appuyez sur ENTRÉE.
Allez à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\ Configuration\CA name.
Entrez les valeurs de Registre valides pour CRLPeriod et CRLDeltaPeriod. Les valeurs valides sont Years, Months, Weeks, Days, ou Hours.
Entrez les valeurs de Registre valides pour CRLPeriodUnits et CRLDeltaPeriodUnits Les valeurs valides sont des entiers (1, 15 ou 31 par exemple).
Remarque : le nom du texte de l'autorité de certification dans la clé de Registre effective sera remplacé par le nom de votre autorité de certification.
Pour confirmer que la publication de la liste de révocation de certificats fonctionne correctement, exécutez la procédure suivante sur un certificat (d'utilisateur ou d'ordinateur) d'entité de fin récemment émis :
Ouvrez une fenêtre d'invite de commandes sur un ordinateur connecté au réseau.
Tapez certutil -url <cert.cer>, puis appuyez sur ENTRÉE.
Remplacez <cert.cer> par le nom d’un fichier de certificat que vous avez créé en exportant un certificat à l’aide de l’Assistant Exportation de certificat.
Dans la boîte de dialogue qui s'affiche, sous Récupérer, cliquez sur les listes de révocation de certificats (depuis le CDP), puis sur Récupérer
Confirmez que l'état de tous les points de distribution de listes de révocation de certificats est répertorié en tant que Vérifié.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 62 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.62" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">62</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>