Службы сертификации восстановили значения публикации списка отзыва сертификатов (CRL) по умолчанию.
Одной из главных функций безопасности центра сертификации (ЦС) и инфраструктуры открытого ключа (PKI) является предоставление клиентам информации, необходимой для определения надежности сертификата. Администратору необходимо быстро отозвать ненадежные сертификаты, срок действия которых еще не истек, и опубликовать эту информацию в списках отзыва сертификатов. Мониторинг и решение проблем публикации и доступности списков отзыва сертификатов являются важными аспектами безопасности PKI.
Настройка служб сертификации Active Directory на использование пользовательских значений публикации списков отзыва сертификатов
Службы сертификации Active Directory (AD CS) запущены, но используют параметры срока публикации списков отзыва сертификатов по умолчанию, а не пользовательские значения. Чтобы устранить эту ошибку, выполните следующие действия.
Просмотрите и при необходимости отредактируйте параметры публикации списков отзыва сертификатов.
При необходимости измените разделы реестра списков отзыва сертификатов.
Проверка и исправление настроек публикации списков отзыва сертификатов
Для выполнения данной процедуры необходимо иметь разрешение на управление ЦС либо обладать соответствующими делегированными полномочиями.
Чтобы проверить и исправить параметры публикации, выполните следующие действия.
На компьютере, на котором размещен ЦС, нажмите кнопку "Пуск", выберите "Администрирование" и щелкните "Центр сертификации".
Правой кнопкой мыши щелкните "Отозванные сертификаты", затем щелкните "Свойства".
Отметьте интервалы публикации списков отзыва сертификатов в списке и разностных списков отзыва сертификатов.
Если один из параметров недопустим, выполните процедуру "Изменение параметров реестра списков отзыва сертификатов", чтобы установить допустимый параметр.
Чтобы воспользоваться программой командной строки Certutil для определения установленных параметров публикации списков отзыва сертификатов, выполните следующие действия.
На компьютере, на котором размещен ЦС, нажмите кнопку "Пуск", введите "cmd" и нажмите клавишу ВВОД.
Введите "certutil -getreg ca\crlperiod*" и нажмите ВВОД, а затем введите "certutil -getreg ca\crldeltaperiod*" и нажмите ВВОД.
Если один из параметров недопустим, выполните приведенную далее процедуру, чтобы установить допустимый параметр.
Изменение разделов реестра списков отзыва сертификатов
Чтобы выполнить эту процедуру, необходимо быть членом локальной группы "Администраторы" либо обладать соответствующими делегированными полномочиями.
Чтобы ввести допустимые разделы реестра, выполните следующие действия.
Внимание! Неправильное редактирование реестра может значительно повредить систему. Прежде чем вносить изменения в реестр, сделайте резервные копии ценных данных.
На компьютере, на котором размещен ЦС, нажмите кнопку "Пуск", введите "regedit" и нажмите ВВОД.
Перейдите к разделу HKEY_LOCAL_MACHINE\СИСТЕМА\ТекущийНаборПараметров\Службы\СлужбыСертификатов\Конфигурация\имя ЦС.
Введите допустимые значения реестра для параметров CRLPeriod и CRLDeltaPeriod. Допустимыми значениями являются: "Years" ("Годы"), "Months" ("Месяцы"), "Weeks" ("Недели"), "Days" ("Дни") или "Hours" ("Часы").
Введите допустимые значения реестра для параметров CRLPeriodUnits и CRLDeltaPeriodUnits. Допустимыми значениями являются целые числа (например, 1, 15 или 31).
Примечание: Текст с именем ЦС в реальном разделе реестра следует заменить на имя вашего ЦС.
Чтобы подтвердить правильность публикации списков отзыва сертификатов, выполните следующую процедуру для недавно выданного сертификата конечного субъекта (пользователя или компьютера).
Откройте окно командной строки на компьютере, подключенном к сети.
Введите certutil -url <cert.cer> и нажмите ВВОД.
Замените <cert.cer> именем файла сертификата, созданного путем экспорта сертификата с помощью мастера экспорта сертификатов.
В пункте Извлечение появившегося диалогового окна щелкните Списки CRL (из CDP), затем щелкните Извлечь.
Подтвердите, что все перечисленные точки распространения CRL имеют состояние Проверено.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 62 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.62" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">62</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>