A tanúsítványszolgáltatás nem teszi közzé a visszavont tanúsítványok listáját a következő CRL lista kiállításáig.
Az ügyfelek számára azon információk biztosítása, amely alapján meg tudják határozni, hogy egy tanúsítvány megbízható-e, a hitelesítésszolgáltatók és a nyilvánoskulcs-infrastruktúrák egyik legfontosabb biztonsági funkciója. A rendszergazdák számára ez azt jelenti, hogy gyorsan vissza kell vonniuk a nem megbízható tanúsítványokat, amelyek nem érték el az ütemezett lejárati dátumukat, és közzé kell tenniük ezt az információt a visszavont tanúsítványok listáján. A visszavont tanúsítványok listájának közzétételével és rendelkezésre állásával kapcsolatos problémák megfigyelése és kijavítása kritikus eleme a nyilvánoskulcs-infrastruktúrák biztonságának.
CRL lista közzétételének engedélyezése a következő CRL lista létrehozása előtt
Kövesse a „A visszavont tanúsítványok listáinak terjesztési pontjaival kapcsolatos problémák kijavítása” részben leírt eljárást a visszavont tanúsítványokat tartalmazó lista terjesztésipont-adataival kapcsolatos problémák kijavításához, beleértve az engedélyekkel kapcsolatos problémákat is.
A „Hálózati kapcsolat ellenőrzése” szakaszban leírt eljárás végrehajtásával ellenőrizze a hálózati kapcsolat létrejöttét az Active Directory tartományi szolgáltatásokkal és a visszavont tanúsítványok listájának elérési pontjait tároló számítógépekkel.
A visszavont tanúsítványok listáinak terjesztési pontjaival kapcsolatos problémák kijavítása
A CRL terjesztési pontok címadataival kapcsolatos problémák áttekintéséhez és kijavításához hajtsa végre a következő műveleteket:
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, mutasson a Felügyeleti eszközök elemre, és kattintson a Hitelesítésszolgáltató lehetőségre.
Kattintson a jobb gombbal a hitelesítésszolgáltató nevére, és kattintson a Tulajdonságok lehetőségre.
Kattintson a Bővítmények fülre. Jegyezze fel azon CRL listák terjesztési pontjait, amelyek esetében a Visszavont tanúsítványok listáinak közzététele ezen a helyen jelölőnégyzet be van jelölve.
Ha a visszavont tanúsítványok listájának közzétételi helye nem érvényes, cserélje le azt egy érvényes elérési útvonalra.
Ha az eseménynapló-üzenet olyan Active Directory-helyet határoz meg, amely LDAP-címként lett formázva, az „Active Directory visszavont tanúsítványok listájához tartozó terjesztésipont-engedélyek ellenőrzése” eljárással ellenőrizze, hogy a hitelesítésszolgáltató rendelkezik-e írási engedéllyel erre a helyre vonatkozóan.
Ha egyéni hálózati helyeket használ a visszavont tanúsítványok listáinak terjesztési pontjaiként, ellenőrizze, hogy a hitelesítésszolgáltatót üzemeltető számítógép rendelkezik-e írási hozzáféréssel az operációs rendszert tartalmazó meghajtóhoz a másik számítógépen.
A CRL listák konfigurált terjesztési pontjainak meghatározása a parancssorból:
Nyisson meg egy parancsablakot a hitelesítésszolgáltatón.
Írja be a certutil -getreg ca\crlpublicationurls parancsot, és nyomja le az ENTER billentyűt.
Active Directory visszavont tanúsítványok listájához tartozó terjesztésipont-engedélyek ellenőrzése
Az Active Directory visszavont tanúsítványok listájához tartozó terjesztésipont-engedélyek ellenőrzéséhez hajtsa végre a következőket:
Egy olyan számítógépen, amely rendelkezik telepített Active Directory felügyeleti eszközökkel, kattintson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory – helyek és szolgáltatások parancsra.
A Nézet menüben kattintson a Szolgáltatás megjelenítése lehetőségre.
Kattintson duplán a Szolgáltatások lehetőségre, és kattintson duplán a Nyilvánoskulcs-szolgáltatások lehetőségre.
Kattintson a jobb gombbal az AIA elemre, és kattintson a Tulajdonságok lehetőségre.
Kattintson a Biztonság fülre, majd ellenőrizze, hogy a hitelesítésszolgáltató rendelkezik-e írási engedélyekkel a helyen.
Hálózati kapcsolat ellenőrzése
A hitelesítésszolgáltató és a tartományvezérlő közti hálózati kapcsolat hibáinak ellenőrzése:
A hitelesítésszolgáltatón kattintson a Start gombra, írja be a cmd parancsot, majd nyomja le az ENTER billentyűt.
Írja be a ping <kiszolgáló_FQDN_neve> parancsot, amelyben a <kiszolgáló_FQDN_neve> a tartományvezérlő teljes tartományneve (például kiszolgáló1.contoso.com), majd nyomja le az ENTER billentyűt.
Ha sikerül csatlakoznia a tartományvezérlőhöz, a következőhöz hasonló válasz érkezik:
Válasz IP_cím: bájt=32 idő=3 ezredmp. TTL=59
Válasz IP_cím: bájt=32 idő=20 ezredmp. TTL=59
Válasz IP_cím: bájt=32 idő=3 ezredmp. TTL=59
Válasz IP_cím: bájt=32 idő=6 ezredmp. TTL=59
Írja be a parancssorba a ping <IP-cím> parancsot, amelyben az <IP-cím> a tartományvezérlő IP-címe, majd nyomja le az ENTER billentyűt.
Ha sikerül csatlakoznia a tartományvezérlőhöz az IP-cím használatával, a teljes tartománynév használatával azonban nem, az a DNS-gazdanév feloldásával kapcsolatos problémára utalhat.
Ha nem sikerül csatlakoznia a tartományvezérlőhöz az IP-cím használatával, az a hálózati kapcsolat hibájára utalhat.
Keresse meg és oldja meg az összes hardveres problémát, például a hibásan működő hálózati kártyát vagy a nem csatlakoztatott hálózati kábelt, továbbá az eseménynaplóban szereplő minden hibát, amely a tűzfal-konfiguráció IPSec konfigurációjával kapcsolatos.
Ismételje meg az eljárást az összes olyan CLR terjesztési pont esetén, amely nem tartományvezérlő.
A visszavont tanúsítványok listájának közzététele funkció megfelelő működésének ellenőrzéséhez hajtsa végre a következő eljárást egy, a közelmúltban kiállított végfelhasználói (felhasználó vagy számítógép) tanúsítványon:
Nyissa meg a parancsablakot egy hálózatra csatlakozó számítógépen.
Írja be a certutil -url <tanúsítvány.cer> parancsot, majd nyomja le az ENTER billentyűt.
A <tanúsítvány.cer> helyőrző azt az exportált tanúsítványfájlt jelöli, amelyet a Tanúsítványexportáló varázslóval hozott létre.
A megjelenő párbeszédpanelen a Lekérés részben kattintson a Visszavont tanúsítványok listája (CDP-tárolóból) elemre, majd kattintson a Lekérés gombra.
Győződjön meg arról, hogy a lekért CRL terjesztési pontok állapota Ellenőrizve.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 67 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.67" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">67</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>