Sertifika Hizmetleri, varsayılan sertifika iptal listesi (CRL) yayımlama değerlerine geri döndü.
İstemcilere bir sertifikaya güvenip güvenmesi için gerek duyduğu bilgileri sağlamak, bir sertifika yetkilisinin (CA) ve ortak anahtar altyapısının (PKI) en önemli güvenlik işlevlerinden biridir. Yönetici için bu, zamanlanan süre bitimi tarihlerine ulaşmamış güvenilmeyen sertifikaları hızlıca iptal etmek ve bu bilgileri sertifika iptal listelerinde (CRL'ler) yayımlamak anlamına gelmektedir. CRL yayımlama ve kullanılabilirliği ile ilgili sorunlarının izlenmesi ve ele alınması, PKI güvenliğinin kritik bir özelliğidir.
AD CS'yi kullanıcı tarafından belirtilen CRL yayımlama değerlerini kullanmak üzere yapılandırın
Active Directory Sertifika Hizmetleri (AD CS) çalışmakta, ancak kullanıcı tarafından belirtilen değerler yerine varsayılan sertifika iptal listesi (CRL) yayımlama süresi ayarlarını kullanmaktadır. Bu sorunu düzeltmek için:
CRL yayımlama ayarlarını denetleyin ve gerekiyorsa düzeltin.
Gerekiyorsa, CRL kayıt defteri anahtarlarını değiştirin.
CRL yayımlama ayarlarını denetleyin ve düzeltin
Bu yordamı gerçekleştirmek için CA'yı Yönet izinlerine sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.
Yayımlama ayarlarını denetlemek ve düzeltmek için:
CA'yı barındıran bilgisayarda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Sertifika Yetkilisi'ne tıklayın.
İptal Edilen Sertifikalar'a sağ tıklayın ve Özellikler'e tıklayın.
Listelenen CRL ve delta CRL yayımlama aralıklarını not edin.
Ayarlardan birinin geçerli olmaması durumunda, geçerli bir ayar yapılandırmak için "CRL kayıt defteri ayarlarını değiştirin" yordamını kullanın.
Yapılandırılan CRL yayımlama ayarlarını belirlemek üzere Certutil komut satırı aracını kullanmak için:
CA'yı barındıran bilgisayar üzerinde Başlat'a tıklayın, cmd yazın ve ENTER tuşuna basın.
certutil -getreg ca\crlperiod* yazın ve ENTER tuşuna basın ve sonra certutil -getreg ca\crldeltaperiod* yazın ve ENTER tuşuna basın.
Bu ayarlardan birinin geçerli olmaması durumunda, geçerli bir ayar yapılandırmak için aşağıdaki yordamı kullanın.
CRL kayıt defteri anahtarlarını değiştirin
Bu yordamı gerçekleştirmek için yerel Administrators grubunun üyesi olmanız veya uygun yetkinin size verilmiş olması gerekir.
Geçerli kayıt defteri anahtarları ayarlamak için:
Dikkat: Kayıt defterini yanlış şekilde düzenlemek sisteminize önemli ölçüde hasar verebilir. Kayıt defterinde değişiklik yapmadan önce değerli verilerinizin yedeğini almanız gerekir.
CA'yı barındıran bilgisayar üzerinde, Başlat'a tıklayın, regedit yazın ve sonra ENTER tuşuna basın.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\ Configuration\CA adı konumuna gidin.
CRLPeriod ve CRLDeltaPeriod için geçerli kayıt defteri değerleri girin. Geçerli değerler Years, Months, Weeks, Days veya Hours değerleridir.
CRLPeriodUnits ve CRLDeltaPeriodUnits için geçerli kayıt defteri değerleri girin. Geçerli değerler tamsayılardır (örneğin 1, 15 veya 31).
Not: Gerçek kayıt defteri anahtarındaki CA adı, CA'nızın adıyla değiştirilecektir.
Sertifika iptal listesi (CRL) yayımlamanın doğru şekilde çalıştığını onaylamak için, yakın zamanda verilmiş bir son varlık (kullanıcı veya bilgisayar) sertifikası üzerinde aşağıdaki yordamı gerçekleştirin:
Ağa bağlı bir bilgisayar üzerinde bir komut istemi penceresi açın.
certutil -url <cert.cer> yazın ve ENTER tuşuna basın.
<cert.cer> ifadesini Sertifika Dışarı Aktarma Sihirbazı'nı kullanıp sertifikayı dışarı aktararak oluşturduğunuz sertifika dosyasının adıyla değiştirin.
Görünen iletişim kutusunda, Al öğesinin altında, CRL'ler (CDP'den) ve Al öğelerine tıklayın.
Alınan tüm CRL dağıtım noktalarının durumunun Doğrulandı olarak listelendiğini onaylayın.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 62 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.62" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">62</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>