Usługi certyfikatów nie będą publikować listy odwołania certyfikatów (listy CRL) do czasu wystawienia następnej takiej listy.
Dostarczanie klientom informacji niezbędnych do ustalenia, czy można ufać certyfikatowi, jest jedną z najważniejszych funkcji zabezpieczeń urzędu certyfikacji (CA) i infrastruktury kluczy publicznych (PKI). Z punktu widzenia administratora oznacza to niezwłoczne odwoływanie niezaufanych certyfikatów, które jeszcze nie przekroczyły swojej zaplanowanej daty wygaśnięcia, i publikowanie tych informacji na listach odwołania certyfikatów (CRL). Monitorowanie i rozwiązywanie problemów z publikowaniem i udostępnianiem list CRL jest kluczowym aspektem zabezpieczeń infrastruktury klucza publicznego.
Włączenie publikowania list CRL przed wygenerowaniem następnej listy CRL
Wykonaj procedurę w sekcji „Rozwiązywanie problemów z punktami dystrybucji list CRL”, aby rozwiązać wszelkie problemy z informacjami o punktach dystrybucji list odwołania certyfikatów (CRL), w tym problemy dotyczące uprawnień.
Wykonaj procedurę w sekcji „Sprawdzanie łączności sieciowej”, aby potwierdzić łączność sieciową z Usługami domenowymi Active Directory (AD DS) i komputerami udostępniającymi punkty dystrybucji list CRL.
Rozwiązywanie problemów z punktami dystrybucji list CRL
Aby przejrzeć i rozwiązać problemy z informacjami o adresach punktów dystrybucji list CRL:
Na komputerze hostującym urząd certyfikacji kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij pozycję Urząd certyfikacji.
Kliknij prawym przyciskiem myszy nazwę urzędu certyfikacji (CA) i kliknij polecenie Właściwości.
Kliknij kartę Rozszerzenia. Zwróć uwagę na punkty dystrybucji list CRL, dla których jest zaznaczone pole wyboru Publikuj listy CRL do tej lokalizacji.
Jeśli lokalizacja publikacji list CRL jest nieprawidłowa, zastąp ją prawidłową ścieżką.
Jeśli komunikat w dzienniku zdarzeń zawiera informację, że lokalizacja usługi Active Directory została sformatowana jako adres protokołu LDAP, skorzystaj z procedury „Sprawdzanie uprawnień punktu dystrybucji list CRL w usłudze Active Directory”, aby upewnić się, że urząd certyfikacji ma uprawnienia do zapisu w tej lokalizacji.
W przypadku używania niestandardowych lokalizacji sieciowych jako punktów dystrybucji list CRL upewnij się, że komputer udostępniający urząd certyfikacji ma uprawnienia do zapisu na dysku zawierającym system operacyjny komputera udostępniającego daną lokalizację.
Aby ustalić skonfigurowane punkty dystrybucji list CRL z wiersza polecenia:
Otwórz okno wiersza polecenia na komputerze urzędu certyfikacji.
Wpisz polecenie certutil -getreg ca\crlpublicationurls i naciśnij klawisz ENTER.
Sprawdzanie uprawnień punktu dystrybucji list CRL w usłudze Active Directory
Aby sprawdzić uprawnienia punktu dystrybucji list CRL w usłudze Active Directory:
Na komputerze z zainstalowanymi narzędziami zarządzania usługą Active Directory kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne, a następnie kliknij pozycję Lokacje i usługi Active Directory.
W menu Widok kliknij polecenie Pokaż węzeł usług.
Dwukrotnie kliknij opcję Usługi, a następnie opcję Usługi klucza publicznego.
Kliknij prawym przyciskiem myszy opcję AIA i kliknij polecenie Właściwości.
Kliknij kartę Zabezpieczenia i upewnij się, że urząd certyfikacji ma uprawnienia do zapisu w tej lokalizacji.
Sprawdzanie połączenia sieciowego
Aby ustalić, czy między urzędem certyfikacji a kontrolerem domeny występuje problem z połączeniem sieciowym:
Na komputerze urzędu certyfikacji kliknij przycisk Start, wpisz polecenie cmd i naciśnij klawisz ENTER.
Wpisz polecenie ping <serwer_FQDN>, gdzie <serwer_FQDN> jest w pełni kwalifikowaną nazwą domeny (FQDN) kontrolera domeny (na przykład serwer1.contoso.com), a następnie naciśnij klawisz ENTER.
W przypadku pomyślnego nawiązania połączenia z kontrolerem domeny na ekranie powinna pojawić się odpowiedź podobna do następującej:
Reply from adres_IP: bytes=32 time=3ms TTL=59
Reply from adres_IP: bytes=32 time=20ms TTL=59
Reply from adres_IP: bytes=32 time=3ms TTL=59
Reply from adres_IP: bytes=32 time=6ms TTL=59
W wierszu polecenia wpisz polecenie ping <adres_IP>, gdzie adres_IP jest adresem IP kontrolera domeny, a następnie naciśnij klawisz ENTER.
Jeśli udaje się nawiązać połączenie z kontrolerem domeny według jego adresu IP, ale nie według nazwy FQDN, może to wskazywać na problem z rozpoznawaniem nazw hostów w systemie nazw domen (DNS).
Jeśli nie można nawiązać połączenia z kontrolerem domeny według adresu IP, może to oznaczać problem z łącznością sieciową.
Sprawdź i rozwiąż wszelkie problemy sieciowe, takie jak uszkodzona karta sieciowa lub odłączony kabel sieciowy, oraz wszelkie odnotowane w dzienniku zdarzeń błędy dotyczące konfiguracji zapory lub zabezpieczeń protokołu internetowego (IPsec).
Powtórz tę procedurę dla punktów dystrybucji list CRL niebędących kontrolerami domeny.
Aby sprawdzić poprawność publikowania list odwołania certyfikatów (CRL), wykonaj następującą procedurę na niedawno wystawionym certyfikacie jednostki końcowej (użytkownika lub komputera):
Otwórz okno wiersza polecenia na komputerze podłączonym do sieci.
Wpisz polecenie certutil -url <cert.cer> i naciśnij klawisz ENTER.
Zastąp ciąg <cert.cer> nazwą pliku certyfikatu utworzonego przez wyeksportowanie certyfikatu przy użyciu Kreatora eksportu certyfikatów.
W wyświetlonym oknie dialogowym w obszarze Pobierz kliknij opcję Listy CRL (z CDP), a następnie opcję Pobierz.
Upewnij się, że dla wszystkich pobranych punktów dystrybucji list CRL jest wyświetlany stan Zweryfikowano.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 67 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.67" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">67</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>