원본이 CertificationAuthority이고 ID가 67인 이벤트에 대한 수집 규칙

요약

클라이언트에게 인증서를 신뢰할지 여부를 결정하는 데 필요한 정보를 제공하는 것은 CA(인증 기관) 및 PKI(공개 키 인프라)의 가장 중요한 보안 기능 중 하나입니다. 관리자의 경우 이는 예정된 만료 날짜에 도달하지 않은 신뢰할 수 없는 인증서를 즉시 해지하고 CRL(인증서 해지 목록)에 이 정보를 즉시 게시하는 것을 의미합니다. CRL 게시 및 가용성과 관련된 문제를 모니터링하고 해결하는 것은 PKI 보안의 중요한 기능입니다.

해결 방법

다음 CRL이 생성되기 전에 CRL을 게시하도록 설정

• "CRL 배포 지점 문제 해결" 섹션의 절차에 따라 권한 문제를 비롯하여 CRL(인증서 해지 목록) 배포 지점 정보와 관련된 문제를 해결합니다.

• "네트워크 연결 확인" 섹션의 절차에 따라 AD DS(Active Directory 도메인 서비스)와 CRL 배포 지점을 호스트하는 컴퓨터에 대한 네트워크 연결을 확인합니다.

CRL 배포 지점 문제 해결

CRL 배포 지점 주소 정보 문제를 검토하여 해결하려면:

• CA를 호스트하는 컴퓨터에서 [시작]을 클릭하고 [관리 도구]를 가리킨 다음 [인증 기관]을 클릭합니다.

• CA(인증 기관) 이름을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

• 확장 탭을 클릭합니다. CRL을 이 위치에 게시 확인란에서 CRL 배포 지점이 선택되어 있는지 확인하십시오.

• CRL 게시 위치가 유효하지 않을 경우 게시 위치를 유효한 경로로 바꿉니다.

• 이벤트 로그 메시지에서 LDAP(Lightweight Directory Access Protocol) 주소로 형식이 지정된 Active Directory 위치를 명시한 경우 "Active Directory CRL 배포 지점 권한 확인" 절차를 사용하여 CA에 이 위치에 대한 쓰기 권한이 있는지 확인합니다.

• 사용자 지정 네트워크 위치를 CRL 배포 지점으로 사용할 경우 CA를 호스트하는 컴퓨터에 다른 컴퓨터의 운영 체제가 포함된 드라이브에 대한 쓰기 권한이 있는지 확인합니다.

명령줄에서 구성된 CRL 배포 지점을 확인하려면:

• CA에서 명령 프롬프트 창을 엽니다.

• certutil -getreg ca\crlpublicationurls를 입력하고 Enter 키를 누릅니다. 

Active Directory CRL 배포 지점 권한 확인

Active Directory CRL 배포 지점 권한을 확인하려면:

• Active Directory 관리 도구가 설치된 컴퓨터에서 [시작]을 클릭하고 [관리 도구]를 가리킨 후 [Active Directory 사이트 및 서비스]를 클릭합니다.

• 보기 메뉴에서 서비스 노드 표시를 클릭합니다.

• Services를 두 번 클릭한 다음 Public Key Services를 두 번 클릭합니다.

• AIA를 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.

• 보안 탭을 클릭하고 CA에 이 위치에 대한 쓰기 권한이 있는지 확인합니다.

네트워크 연결 확인

CA와 도메인 컨트롤러 간의 네트워크 연결에 문제가 있는지 확인하려면:

• CA에서 시작을 클릭하고 cmd를 입력한 다음 Enter 키를 누릅니다.

• ping <server_FQDN>을 입력한 다음 <Enter> 키를 누릅니다. 여기서 <server_FQDN>은 도메인 컨트롤러의 FQDN(정규화된 도메인 이름)이며 server1.contoso.com과 같을 수 있습니다.

• 도메인 컨트롤러에 연결할 수 있는 경우 다음과 유사한 응답을 받게 됩니다.

IP_address의 응답: 바이트=32 시간=3ms TTL=59

IP_address의 응답: 바이트=32 시간=20ms TTL=59

IP_address의 응답: 바이트=32 시간=3ms TTL=59

IP_address의 응답: 바이트=32 시간=6ms TTL=59 

• 명령 프롬프트에서 ping <IP_address>를 입력한 다음 <Enter> 키를 누릅니다. 여기서 <IP_address>는 도메인 컨트롤러의 IP 주소입니다.

• IP 주소로 도메인 컨트롤러에 연결할 수 있지만 FQDN으로는 연결할 수 없습니다. 이는 DNS(도메인 이름 시스템) 호스트 이름 확인에 문제가 있는 것입니다.

• IP 주소로 도메인 컨트롤러에 성공적으로 연결할 수 없으면 네트워크 연결에 문제가 있을 수 있습니다.

• 고장 난 네트워크 카드 또는 연결이 끊긴 네트워크 케이블과 같은 모든 하드웨어 문제와 방화벽 구성 및 IPsec(인터넷 프로토콜 보안) 구성과 관련된 모든 이벤트 로그 오류를 확인하여 해결합니다.

• 도메인 컨트롤러가 아닌 모든 CRL 배포 지점에 대해 이 절차를 반복합니다. 

추가 정보

CRL(인증서 해지 목록) 게시가 제대로 작동하는지 확인하려면 최근에 발급된 최종 엔터티(사용자 또는 컴퓨터) 인증서에 대해 다음 절차를 수행하십시오.

• 네트워크가 설치된 컴퓨터에서 명령 프롬프트 창을 엽니다.

• certutil -url <cert.cer>을 입력하고 <Enter> 키를 누릅니다.

<cert.cer>을 인증서 내보내기 마법사로 인증서를 내보내서 만든 인증서 파일의 이름으로 바꿉니다.

• 표시되는 대화 상자의 검색에서 CRL(CDP로부터)을 클릭한 다음 검색을 클릭합니다.

• 검색된 모든 CRL 배포 지점의 상태가 확인됨으로 표시되는지 확인합니다.