Les services de certificats n'ont pas pu publier de liste de révocation de certificats.
Fournir aux clients les informations dont ils ont besoin pour déterminer s'il faut faire confiance à un certificat est une des fonctions de sécurité les plus importantes d'une autorité de certification et d'une infrastructure à clé publique (PKI). Pour l'administrateur, ceci signifie qu'il faut révoquer rapidement des certificats non approuvés n'ayant pas atteint leur date d'expiration programmée et publier ces informations dans des listes de révocation de certificats. L'analyse et la correction de problèmes, associées à la publication de listes de révocation de certificats et à la disponibilité, sont un aspect critique de la sécurité PKI.
Activer AD CS pour publier une liste de révocation de certificats
Des résolutions possibles concernant ce message du journal des événements incluent :
Si le message du journal des événements spécifie un emplacement Active Directory ayant été formaté en tant qu'adresse de protocole LDAP, confirmez que l'autorité de certification a des autorisations d'écriture à cet emplacement. Pour cela, suivez la procédure de la section « Confirmer les autorisations des points de distribution de la liste de révocation de certificats Active Directory ».
Vérifiez la liste de contrôle d'accès à tous les emplacements de fichiers mentionnés dans le message du journal des événements pour confirmer que l'ordinateur de l'autorité de certification a des autorisations d'écriture à ces emplacements. Pour cela, suivez la procédure de la section « Confirmer les autorisations des points de distribution de la liste de révocation de certificats ».
Suivez la procédure de la section « Vérifier la connectivité réseau » pour vérifier la connectivité réseau entre l'autorité de certification et le contrôleur de domaine.
Après que des problèmes de réseau ou d'autorisation ont été résolus, utilisez la procédure de la section « Publier une nouvelle liste de révocation de certificats » pour publier une nouvelle liste de révocation de certificats.
Si vous ne pouvez toujours pas publier une nouvelle liste de révocation de certificats, confirmez que le point de distribution de la liste de révocation de certificats est valide en suivant la procédure de la section « Confirmer la validité des points de distribution de la liste de révocation de certificats ».
Pour effectuer ces procédures, vous devez avoir une autorisation de Gérer l'autorité de certification ou l’autorité appropriée doit vous avoir été déléguée.
Confirmer les autorisations des points de distribution de la liste de révocation de certificats Active Directory
Pour confirmer les autorisations des points de distribution de la liste de révocation de certificats Active Directory :
Sur un ordinateur où des outils de gestion Active Directory sont installés, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Sites et services Active Directory.
Dans le menu Affichage, cliquez sur Afficher le nœud des services.
Double-cliquez sur Services, puis sur Public Key Services.
Cliquez avec le bouton droit sur AIA et cliquez sur Propriétés.
Cliquez sur l'onglet Sécurité et confirmez que l'autorité de certification a une autorisation d'écriture pour cet emplacement.
Confirmer les autorisations des points de distribution de la liste de révocation de certificats d'emplacements de fichiers
Pour confirmer les autorisations des points de distribution de la liste de révocation de certificats d'emplacements de fichiers :
Cliquez sur Démarrer, entrez l'adresse de partage de fichier que vous utilisez pour publier des listes de révocation de certificats et appuyez sur ENTRÉE.
Cliquez avec le bouton droit sur le partage de fichier et cliquez sur Propriétés.
Cliquez sur l'onglet Sécurité et confirmez que l'autorité de certification a une autorisation d'écriture pour cet emplacement.
Vérifier la connectivité réseau
Pour déterminer si un problème de connectivité réseau est survenu entre l'autorité de certification et le contrôleur de domaine :
Ouvrez une fenêtre d'invite de commandes sur l'ordinateur hébergeant l'autorité de certification.
Tapez ping <FQDN_serveur>, où FQDN_serveur est le nom de domaine complet (FQDN) du contrôleur de domaine. Appuyez sur ENTRÉE. Si vous pouvez vous connecter au contrôleur de domaine, vous recevrez une réponse similaire à ce qui suit :
Réponse d'IP_address: octets = 32 temps = 3 ms TTL = 59
Réponse d'IP_address: octets = 32 temps = 20 ms TTL = 59
Réponse d'IP_address: octets = 32 temps = 3 ms TTL = 59
Réponse d'IP_address: octets = 32 temps = 6 ms TTL=59,3
À l’invite de commandes, tapez ping <adresse_IP>, où <adresse_IP> correspond à l’adresse IP du contrôleur de domaine. Appuyez sur ENTRÉE.
Si vous parvenez à vous connecter au contrôleur de domaine par adresse IP, mais pas par nom de domaine complet (FQDN), il s'agit peut-être d'un problème de résolution du nom d'hôte du DNS.
Si vous ne parvenez pas à vous connecter au contrôleur de domaine par adresse IP, il s'agit probablement d'un problème de connectivité réseau. Vérifiez et résolvez les problèmes matériels tels qu'une carte réseau présentant un dysfonctionnement ou un câble réseau déconnecté, ainsi que des erreurs du journal des événements concernant la configuration du pare-feu ou la configuration de la sécurité du protocole Internet (IPsec).
Publier une nouvelle liste de révocation de certificats
Pour publier une nouvelle liste de révocation de certificats à l'aide du composant logiciel enfichable de l'autorité de certification :
Cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Autorité de certification.
Cliquez avec le bouton droit sur Certificats révoqués, pointez sur Toutes les tâches, puis cliquez sur Publier pour publier la nouvelle liste de révocation de certificats.
Pour publier une nouvelle liste de révocation de certificats avec l'outil en ligne de commande Certutil :
Ouvrez une fenêtre d’invite de commande.
Pour publier des listes de révocation de certificats vers tous les emplacements de publication de listes de révocation de certificats configurés, entrez certutil -CRL et appuyez sur ENTRÉE.
Pour publier une liste de révocation de certificats directement à un emplacement d’Active Directory, tapez certutil -dspublish "<NomListeRévocationCertificats.crl>" ldap:///CN=<nom de l’autorité de certification>,CN=<nom de l’hôte de l’autorité de certification>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint puis appuyez sur ENTRÉE.
Remplacez crlname.crl par le nom de votre fichier de listes de révocation de certification, le nom de l'autorité de certification et le nom d'hôte de l'autorité de certification par votre nom d'autorité de certification, et le nom de l'hôte exécuté par l'autorité de certification ainsi que contoso et com par l'espace de noms de votre domaine Active Directory.
Confirmer la validité des points de distribution configurés de la liste de révocation de certificats
Pour confirmer la validité des points de distribution configurés de la liste de révocation de certificats :
Cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Autorité de certification.
Cliquez avec le bouton droit sur le nom de l'autorité de certification, puis sur Propriétés.
Cliquez sur l'onglet Extensions. Notez les emplacements des points de distribution de la liste de révocation de certificats pour lesquels la case à cocher Publier les listes de révocation de certificats est sélectionnée.
Vous pouvez également déterminer les URL des points de distribution configurés de la liste de révocation de certificats en ouvrant une fenêtre d'invite de commandes sur l'autorité de certification et en exécutant la commande suivante : certutil -getreg ca\crlpublicationurls.
Pour confirmer que la publication de la liste de révocation de certificats fonctionne correctement, exécutez la procédure suivante sur un certificat (d'utilisateur ou d'ordinateur) d'entité de fin récemment émis :
Ouvrez une fenêtre d'invite de commandes sur un ordinateur connecté au réseau.
Tapez certutil -url <cert.cer>, puis appuyez sur ENTRÉE.
Remplacez <cert.cer> par le nom d’un fichier de certificat que vous avez créé en exportant un certificat à l’aide de l’Assistant Exportation de certificat.
Dans la boîte de dialogue qui s'affiche, sous Récupérer, cliquez sur les listes de révocation de certificats (depuis le CDP), puis sur Récupérer
Confirmez que l'état de tous les points de distribution de listes de révocation de certificats est répertorié en tant que Vérifié.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 65 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.65" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">65</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDd664f0fa5e3944d587fc8230b91b51bb"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>