Die Zertifikatsdienste veröffentlichen eine Zertifikatsperrliste nicht bevor die nächste Zertifikatsperrliste ausgestellt wird.
Eine der wichtigsten Sicherheitsfunktionen einer Zertifizierungsstelle und einer Public Key-Infrastruktur ist es, für Clients die Informationen bereitzustellen, die sie zum Ermitteln benötigen, ob ein Zertifikat vertrauenswürdig ist. Für den Administrator bedeutet dies, nicht vertrauenswürdige Zertifikate umgehend zu sperren, die ihre geplanten Ablaufdaten nicht erreicht haben, und diese Informationen in Zertifikatsperrlisten zu veröffentlichen. Die Überwachung und Behandlung von Problemen mit der Veröffentlichung und Verfügbarkeit von Zertifikatsperrlisten ist ein wichtiger Aspekt der Sicherheit der Public Key-Infrastruktur.
Sperrlistenveröffentlichung vor dem Generieren der nächsten Sperrliste ermöglichen
Befolgen Sie das Verfahren im Abschnitt "Verteilungspunktprobleme von Sperrlisten beheben", um alle Probleme mit Verteilungspunktinformationen Ihrer Sperrliste zu beheben, einschließlich Berechtigungsprobleme.
Befolgen Sie das Verfahren im Abschnitt "Netzwerkverbindung bestätigen", um zu bestätigen, dass Netzwerkverbindungen zu Active Directory-Domänendiensten und Computern bestehen, die Verteilungspunkte von Sperrlisten hosten.
Verteilungspunktprobleme von Sperrlisten beheben
So überprüfen und beheben Sie Probleme mit Adressinformationen der Verteilungspunkte von Sperrlisten:
Klicken Sie auf dem Computer, der die Zertifizierungsstelle hostet, auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Zertifizierungsstelle".
Klicken Sie mit der rechten Maustaste auf den Namen der Zertifizierungsstelle, und klicken Sie dann auf "Eigenschaften".
Klicken Sie auf die Registerkarte "Erweiterungen". Beachten Sie die Verteilungspunkte der Zertifikatsperrliste, für die das Kontrollkästchen "Sperrlisten an diesem Ort veröffentlichen" aktiviert ist.
Wenn der Veröffentlichungsort für eine Sperrliste nicht gültig ist, ersetzen Sie ihn durch einen gültigen Pfad.
Wenn in der Ereignisprotokollnachricht ein Active Directory-Speicherort angegeben wird, der als LDAP-Adresse (Lightweight Directory Access Protocol) formatiert wurde, verwenden Sie das Verfahren "Verteilungspunktberechtigungen für Active Directory-Zertifikatsperrlisten bestätigen", um zu prüfen, ob die Zertifizierungsstelle über die Schreibberechtigung für diesen Speicherort verfügt.
Wenn Sie benutzerdefinierte Netzwerkstandorte als Verteilungspunkte für Sperrlisten verwenden, bestätigen Sie, dass der Computer, der die Zertifizierungsstelle hostet, über Schreibzugriff für das Laufwerk verfügt, das das Betriebssystem auf dem anderen Computer enthält.
So ermitteln Sie die konfigurierten Verteilungspunkte der Sperrliste über die Befehlszeile
Öffnen Sie ein Eingabeaufforderungsfenster auf der Zertifizierungsstelle.
Geben Sie "certutil -getreg ca\crlpublicationurls" ein, und drücken Sie die EINGABETASTE.
Verteilungspunktberechtigungen für Active Directory-Zertifikatsperrlisten bestätigen
So bestätigen Sie Verteilungspunktberechtigungen für Active Directory-Zertifikatsperrlisten:
Klicken Sie auf einem Computer mit installierten Active Directory-Verwaltungstools auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Active Directory-Standorte und -Dienste".
Klicken Sie im Menü "Ansicht" auf "Dienstknoten anzeigen".
Doppelklicken Sie auf "Services" und dann auf "Public Key Services".
Klicken Sie mit der rechten Maustaste auf "AIA", und klicken Sie dann auf "Eigenschaften".
Klicken Sie auf die Registerkarte "Sicherheit" und bestätigen Sie, dass die Zertifizierungsstelle über die Schreibberechtigung für diesen Speicherort verfügt.
Netzwerkverbindungen bestätigen
So ermitteln Sie, ob ein Netzwerkverbindungsproblem zwischen der Zertifizierungsstelle und einem Domänencontroller besteht:
Klicken Sie auf der Zertifizierungsstelle auf "Start", geben Sie "cmd" ein, und drücken Sie die EINGABETASTE.
Geben Sie ping <server_FQDN> ein, wobei "<server_FQDN>" der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) des Domänencontrollers (z. B. server1.contoso.com) ist, und drücken Sie dann die EINGABETASTE.
Wenn Sie eine Verbindung zum Domänencontroller herstellen können, erhalten Sie eine Antwort wie die folgende:
Antwort von IP-Adresse: Bytes=32 Zeit=3ms TTL=59
Antwort von IP-Adresse: Bytes=32 Zeit=20ms TTL=59
Antwort von IP-Adresse: Bytes=32 Zeit=3ms TTL=59
Antwort von IP-Adresse: Bytes=32 Zeit=6ms TTL=59
Geben Sie an der Eingabeaufforderung ping <IP_address> ein, wobei "<IP_address>" die IP-Adresse des Domänencontrollers ist, und drücken Sie dann die EINGABETASTE.
Wenn Sie über die IP-Adresse, jedoch nicht über den FQDN eine Verbindung mit dem Domänencontroller herstellen können, liegt möglicherweise ein Problem bei der Auflösung des DNS-Hostnamens (Domain Name System) vor.
Wenn Sie über die IP-Adresse keine Verbindung zum Domänencontroller herstellen können, liegt möglicherweise ein Problem mit der Netzwerkverbindung vor.
Prüfen Sie auf mögliche Hardwareprobleme, z. B. eine nicht funktionierende Netzwerkkarte oder ein nicht angeschlossenes Netzwerkkabel, sowie auf alle Ereignisprotokollfehler, die sich auf die IPsec-Konfiguration der Firewallkonfiguration beziehen, und beheben Sie diese.
Wiederholen Sie dieses Verfahren für alle Verteilungspunkte der Sperrliste, die keine Domänencontroller sind.
Führen Sie das folgende Verfahren mit einem vor Kurzem ausgestellten Zertifikat für eine Endeinheit (Benutzer oder Computer) aus, um die ordnungsgemäße Funktion der Veröffentlichung der Zertifikatsperrliste zu bestätigen:
Öffnen Sie ein Eingabeaufforderungsfenster auf einem Computer, der mit dem Netzwerk verbunden ist.
Geben Sie certutil -url <cert.cer> ein, und drücken Sie die EINGABETASTE.
Ersetzen Sie <cert.cer> durch den Namen einer Zertifikatdatei, die Sie mit dem Zertifikatexport-Assistenten durch Exportieren eines Zertifikats erstellt haben.
Klicken Sie in dem sich öffnenden Dialogfeld unter Abrufen auf Sperrlisten (vom CDP), und klicken Sie dann auf Abrufen.
Bestätigen Sie, dass der Status aller abgerufenen Zertifikatsperrlisten-Verteilungspunkte als Überprüft aufgelistet wird.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 67 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.67" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">67</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>