Sertifika Hizmetleri, sonraki CRL verilene kadar bir sertifika iptal listesi (CRL) yayımlayamayacak.
İstemcilere bir sertifikaya güvenip güvenmesi için gerek duyduğu bilgileri sağlamak, bir sertifika yetkilisinin (CA) ve ortak anahtar altyapısının (PKI) en önemli güvenlik işlevlerinden biridir. Yönetici için bu, zamanlanan süre bitimi tarihlerine ulaşmamış güvenilmeyen sertifikaları hızlıca iptal etmek ve bu bilgileri sertifika iptal listelerinde (CRL'ler) yayımlamak anlamına gelmektedir. CRL yayımlama ve kullanılabilirliği ile ilgili sorunlarının izlenmesi ve ele alınması, PKI güvenliğinin kritik bir özelliğidir.
Sonraki CRL oluşturulmadan önce CRL yayımlamayı etkinleştirin
İzin sorunları da dahil olmak üzere, sertifika iptal listesi (CRL) dağıtım noktası bilgilerinizle ilgili tüm sorunları düzeltme için "CRL dağıtım noktası sorunlarını düzeltin" bölümündeki yordamı izleyin.
Active Directory Etki Alanı Hizmetleri'ne (AD DS) ve CRL dağıtım noktalarını barındıran bilgisayarlara ağ bağlantınız olduğunu onaylamak için "Ağ bağlantısını onaylayın" bölümündeki yordamı izleyin.
CRL dağıtım noktası sorunlarını düzeltin
CRL dağıtım noktası adres bilgileriyle ilgili sorunları gözden geçirmek ve düzeltmek için:
CA'yı barındıran bilgisayarda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Sertifika Yetkilisi'ne tıklayın.
Sertifika yetkilisinin (CA) adına sağ tıklayın ve Özellikler'e tıklayın.
Uzantılar sekmesine tıklayın. CRL'leri bu konuma yayımla onay kutusunun işaretli olduğu CRL dağıtım noktalarını not edin.
CRL yayımlama konumu geçerli değilse, bunu geçerli bir yol ile değiştirin.
Olay günlüğü iletisi bir Basit Dizin Erişimi Protokolü (LDAP) adresi olarak biçimlendirilmiş bir Active Directory konumunu belirtiyorsa, CA'nın bu konuma yönelik Yazma izinlerine sahip olduğunu onaylamak için "Active Directory CRL dağıtım noktası izinlerini onaylayın" yordamını kullanın.
CRL dağıtım noktası olarak özel ağ konumlarını kullanıyorsanız, CA'yı barındıran bilgisayarın, diğer bilgisayar üzerinde işletim sistemini içeren sürücüye yönelik Yazma erişimine sahip olduğunu onaylayın.
Yapılandırılan CRL dağıtım noktalarını komut satırından belirlemek için:
CA üzerinde bir komut istemi penceresi açın.
certutil -getreg ca\crlpublicationurls yazın ve ENTER tuşuna basın.
Active Directory CRL dağıtım noktası izinlerini onaylayın
Active Directory CRL dağıtım noktası izinlerini onaylamak için:
Active Directory yönetim araçlarının yüklü olduğu bir bilgisayar üzerinde, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Active Directory Siteleri ve Hizmetleri'ne tıklayın.
Görünüm menüsünde, Hizmet Düğümünü Göster'e tıklayın.
Hizmetler'e ve Ortak Anahtar Hizmetleri'ne çift tıklayın.
AIA'ya sağ tıklayın ve Özellikler'e tıklayın.
Güvenlik sekmesine tıklayın ve CA'nın bu konuma yönelik Yazma izinleri olduğunu onaylayın.
Ağ bağlantısını onaylayın
CA ile bir etkin alanı denetleyicisi arasında ağ bağlantısı sorunu olup olmadığını belirlemek için:
CA üzerinde, Başlat'a tıklayın, cmd yazın ve ENTER tuşuna basın.
ping <server_FQDN> yazın (burada <server_FQDN>, etki alanı denetleyicisinin tam etki alanı adıdır (FQDN) (örneğin, server1.contoso.com)) ve ENTER tuşuna basın.
Etki alanı denetleyicisine bağlanabilmeniz durumunda, aşağıdakine benzer bir yanıt alırsınız:
IP_address yanıtı: bayt=32 süre=3ms TTL=59
IP_address yanıtı: bayt=32 süre=20ms TTL=59
IP_address yanıtı: bayt=32 süre=3ms TTL=59
IP_address yanıtı: bayt=32 süre=6ms TTL=59
Komut isteminde ping <IP_address> yazın (burada <IP_address>, etki alanı denetleyicisinin IP adresidir) ve ardından ENTER tuşuna basın.
Etki alanı denetleyicisine bağlantının IP adresiyle kurulması ancak FQDN ile kurulamaması, Etki Alanı Adı Sistemi (DNS) ana bilgisayar ad çözümlemesiyle ilgili olası bir sorun olduğunu gösterir.
Etki alanı denetleyicisine bağlantının IP adresiyle başarısız olması, ağ bağlantısıyla ilgili olası bir sorun olduğunu gösterir.
Arızalı ağ kartı veya bağlantısı kesilmiş ağ kablosu gibi donanım sorunlarının yanı sıra, güvenlik duvarı yapılandırması Internet Protokolü güvenliği (IPsec) yapılandırması ile ilgili olay günlüğü hatalarını denetleyin ve düzeltin.
Bu yordamı etki alanı denetleyicisi olmayan CRL dağıtım noktaları için de uygulayın.
Sertifika iptal listesi (CRL) yayımlamanın doğru şekilde çalıştığını onaylamak için, yakın zamanda verilmiş bir son varlık (kullanıcı veya bilgisayar) sertifikası üzerinde aşağıdaki yordamı gerçekleştirin:
Ağa bağlı bir bilgisayar üzerinde bir komut istemi penceresi açın.
certutil -url <cert.cer> yazın ve ENTER tuşuna basın.
<cert.cer> ifadesini Sertifika Dışarı Aktarma Sihirbazı'nı kullanıp sertifikayı dışarı aktararak oluşturduğunuz sertifika dosyasının adıyla değiştirin.
Görünen iletişim kutusunda, Al öğesinin altında, CRL'ler (CDP'den) ve Al öğelerine tıklayın.
Alınan tüm CRL dağıtım noktalarının durumunun Doğrulandı olarak listelendiğini onaylayın.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 67 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.67" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">67</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>