Os Serviços de Certificados não publicarão uma lista de revogação de certificados (CRL) até à emissão da próxima CRL.
Fornecer aos clientes as informações de que estes necessitam para determinar se podem ou não confiar num certificado é uma das funções de segurança mais importantes de uma autoridade de certificação (AC) e da infraestrutura de chaves públicas (PKI). Para o administrador, isto significa revogar imediatamente certificados não fidedignos que não atingiram as datas de validade agendadas e a publicação destas informações nas listas de revogação de certificados (CRLs). A monitorização e resolução de problemas com a publicação e disponibilidade de CRLs é um dos aspetos fundamentais da segurança de PKI.
Ativar a publicação de CRL antes de a próxima CRL ser gerada
Siga o procedimento na secção "Corrigir problemas de pontos de distribuição de CRL" para corrigir problemas nas suas informações dos pontos de distribuição da lista de revogação de certificados (CRL), incluindo problemas de permissões.
Siga o procedimento na secção "Confirmar conectividade da rede" para confirmar se tem conectividade de rede para os Serviços de Domínio do Active Directory (AD DS) e computadores que alojam pontos de distribuição de CRL.
Corrigir problemas de pontos de distribuição de CRL
Para rever e corrigir problemas de informações dos endereços dos pontos de distribuição de CRL:
No computador que aloja a AC, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Clique com o botão direito do rato no nome da autoridade de certificação (AC) e clique em Propriedades.
Clique no separador Extensões. Tome nota dos pontos de distribuição de CRL para os quais a caixa de verificação Publicar CRLs nesta localização está selecionada.
Se a localização de publicação de uma CRL não for válida, substitua por um caminho válido.
Se a mensagem do registo de eventos especificar uma localização do Active Directory que foi formatada como um endereço de protocolo LDAP (Lightweight Directory Access Protocol), utilize o procedimento "Confirmar as permissões dos pontos de distribuição de CRL do Active Directory" para verificar se a AC tem permissões de Escrita para esta localização.
Se está a utilizar localizações na rede personalizadas como pontos de distribuição de CRL, confirme se o computador que aloja a AC tem acesso de Escrita à unidade que contém o sistema operativo no outro computador.
Para determinar os pontos de distribuição configurados da CRL a partir da linha de comandos:
Abra uma janela da linha de comandos na AC.
Escreva certutil -getreg ca\crlpublicationurls e prima ENTER.
Confirmar as permissões dos pontos de distribuição de CRL do Active Directory
Para confirmar as permissões dos pontos de distribuição de CRL do Active Directory:
Num computador equipado com as ferramentas de gestão do Active Directory, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Serviços e Locais do Active Directory.
No menu Ver, clique em Mostrar nó "Serviços".
Faça duplo clique em Serviços e duplo clique em Serviços de Chave Pública.
Clique com o botão direito do rato em AIA e clique em Propriedades.
Clique no separador Segurança e confirme se a AC tem permissão de Escrita para esta localização.
Confirmar a conectividade da rede
Para determinar se existe um problema de conectividade de rede entre a AC e um controlador de domínio:
Na AC, clique em Iniciar, escreva cmd e prima ENTER.
Escreva ping <server_FQDN>, em que <server_FQDN> é o nome de domínio completamente qualificado (FQDN) do controlador de domínio (por exemplo, server1.contoso.com) e depois prima ENTER.
Se conseguir ligar ao controlador de domínio, receberá uma resposta semelhante ao seguinte:
Reply from IP_address: bytes=32 time=3ms TTL=59
Reply from IP_address: bytes=32 time=20ms TTL=59
Reply from IP_address: bytes=32 time=3ms TTL=59
Reply from IP_address: bytes=32 time=6ms TTL=59
Na linha de comandos, escreva ping <IP_address>, em que <IP_address> é o endereço IP do controlador de domínio e depois prima ENTER.
Se conseguir ligar ao controlador de domínio através do endereço IP, mas não através do FQDN, isto indica um possível problema na resolução de nomes do anfitrião DNS (Sistema de Nomes de Domínio).
Se não conseguir ligar ao controlador de domínio através do endereço IP, isto indica um possível problema na conectividade de rede.
Verifique e resolva eventuais problemas de hardware tais com uma placa de rede avariada ou um cabo de rede desligado, assim como erros do registo de eventos relacionados com a configuração do firewall ou a configuração de segurança do Protocolo Internet (IPsec).
Repita este procedimento para todos os pontos de distribuição de CRL que não sejam controladores de domínio.
Para confirmar se a publicação da lista de revogação de certificados (CRL) está a funcionar corretamente, execute o procedimento indicado a seguir num certificado de entidade final (utilizador ou computador) recém-emitido:
Abra uma janela da linha de comandos num computador que esteja ligado à rede.
Escreva certutil -url <cert.cer> e prima ENTER.
Substitua <cert.cer> pelo nome de um ficheiro de certificado que criou ao exportar um certificado através do Assistente Para Exportar Certificados.
Na caixa de diálogo que aparece, em Obter, clique em CRLs (a partir de CDP) e clique em Obter.
Confirme se o estado de todos os pontos de distribuição da CRL obtida está listado como Verificado.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 67 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.67" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">67</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>