Certifikattjänster publicerar inte en certifikatåterkallningslista (CRL) förrän nästa CRL har utfärdats.
Att tillhandahålla klienterna med den information de behöver för att avgöra om de ska lita på ett certifikat är en av de viktigaste säkerhetsfunktionerna för en certifikatutfärdare och public key infrastructure (PKI). För administratören innebär det att obetrodda certifikat som inte har nått planerat utgångsdatum måste återkallas omedelbart och informationen måste publiceras på certifikatåterkallningslistorna. En viktig aspekt av PKI-säkerhet är övervakande och åtgärdande av problem med CRL-publicering och -tillgänglighet.
Aktivera CRL-publicering innan nästa CRL genereras
Följ proceduren i avsnittet Korrigera problem med CRL-distributionspunkter för att rätta till eventuella problem med distributionspunktinformationen för certifikatåterkallningslistan, inklusive behörighetsproblem.
Följ proceduren i avsnittet Bekräfta nätverksanslutning för att bekräfta att du har en nätverksanslutning till Active Directory Domain Services (AD DS) och datorer med CRL-distributionspunkter.
Korrigera CRL-distributionspunktproblem
Granska och korrigera problem med adressinformation för CRL-distributionspunkt:
Klicka på Start på datorn som kör certifikatutfärdaren, peka på Administrationsverktyg och klicka på Certifikatutfärdare.
Högerklicka på namnet för certifikatutfärdaren (CA) och klicka på Egenskaper.
Klicka på fliken Tillägg. Notera vilka CRL-distributionspunkter som kryssrutan Publicera listor över återkallade certifikat till denna plats har markerats för.
Om en CRL-publiceringsplats är ogiltig ersätter du den med en giltig sökväg.
Om händelseloggmeddelandet anger en Active Directory-plats som har formaterats som en LDAP-adress (Lightweight Directory Access Protocol), använder du proceduren Bekräfta behörigheter för Active Directory CRL-distributionspunkt för att kontrollera att certifikatutfärdaren har skrivbehörigheter för denna plats.
Om du använder anpassade nätverksplatser som CRL-distributionspunkter bekräftar du att datorn som kör CA har skrivrättigheter för operativsystemsdisken på den andra datorn.
Bekräfta de konfigurerade CRL-distributionspunkterna från kommandoraden:
Öppna ett kommandotolkfönster på certifikatutfärdaren.
Skriv certutil -getreg ca\crlpublicationurls och tryck RETUR.
Bekräfta behörigheter för Active Directory CRL-distributionspunkter
Bekräfta behörigheter för Active Directory CRL-distributionspunkter:
Klicka på Start på en dator där Active Directory-hanteringsverktygen finns installerade, peka på Administrationsverktyg och klicka på Active Directory-platser och -tjänster.
Klicka på Visa noden Tjänster på Visa-menyn.
Dubbelklicka på Tjänster och dubbelklicka på Public Key Services.
Högerklicka på AIA och klicka på Egenskaper.
Klicka på fliken Säkerhet och bekräfta att certifikatutfärdaren har skrivbehörigheter för den här platsen.
Bekräfta nätverksanslutningen
För att avgöra om det finns ett problem med nätverksanslutningen mellan certifikatutfärdaren och en domänkontrollant:
Klicka på Start på certifikatutfärdaren, skriv cmd och tryck på RETUR.
Skriv ping <server_FQDN>, där <server_FQDN> är fullständigt kvalificerat domännamn (FQDN) för domänkontrollanten (t.ex. server1.contoso.com), och tryck sedan på RETUR.
Om du kan ansluta till domänkontrollanten, kommer du få ett svar som liknar följande:
Reply from IP_address: bytes=32 time=3ms TTL=59
Reply from IP_address: bytes=32 time=20ms TTL=59
Reply from IP_address: bytes=32 time=3ms TTL=59
Reply from IP_address: bytes=32 time=6ms TTL=59
Skriv ping <IP_address> i kommandotolken, där <IP_address> är domänkontrollantens IP-address, och tryck sedan på RETUR.
Om det går att ansluta till domänkontrollanten via IP-adressen men inte via FQDN kan ett fel ha inträffat i matchningen av värdnamn för Domain Name System (DNS).
Om det inte går att ansluta till domänkontrollanten via IP-adress kan det vara problem med nätverksanslutningen.
Sök efter och lös maskinvaruproblem, som ett nätverkskortfel eller en frånkopplad nätverkskabel, samt alla händelseloggfel som rör brandväggskonfigurationen för IPsec-konfigurationen.
Upprepa den här proceduren för alla CRL-distributionspunkter som inte är domänkontrollanter.
Bekräfta att publicering av certifikatåterkallningslista fungerar korrekt genom att utföra följande procedur på ett nyligen utfärdat slutenhetscertifikat (användare eller dator):
Öppna ett kommandotolkfönster på en dator som är ansluten till nätverket.
Skriv certutil -url <cert.cer> och tryck på RETUR.
Ersätt <cert.cer> med namnet på certifikatfilen som du skapade genom att exportera ett certifikat med guiden Exportera certifikat.
Klicka på CRL:er (från CDP) och Hämta under Hämta i dialogrutan som visas.
Bekräfta att statusen för hämtade CRL-distributionspunkter visas som Verifierade.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 67 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.67" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">67</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>