Службы сертификации не опубликуют список отзыва сертификатов (CRL) до выдачи следующего CRL.
Одной из главных функций безопасности центра сертификации (ЦС) и инфраструктуры открытого ключа (PKI) является предоставление клиентам информации, необходимой для определения надежности сертификата. Администратору необходимо быстро отозвать ненадежные сертификаты, срок действия которых еще не истек, и опубликовать эту информацию в списках отзыва сертификатов. Мониторинг и решение проблем публикации и доступности списков отзыва сертификатов являются важными аспектами безопасности PKI.
Активация публикации списка отзыва сертификатов перед созданием следующего списка отзыва сертификатов
Выполните процедуру в разделе "Устранение проблем точек распространения списков отзыва сертификатов", чтобы устранить проблемы со сведениями о точках распространения списков отзыв сертификатов, включая проблемы разрешений.
Выполните процедуру в разделе "Проверка наличия сетевого подключения", чтобы удостовериться в наличии сетевого подключения к доменным службам Active Directory (AD DS) и компьютерам, на которых размещены точки распространения списков отзыва сертификатов.
Устранение проблем точек распространения списков отзыва сертификатов
Чтобы просмотреть и устранить проблемы со сведениями об адресах точек распространения списков отзыва сертификатов, выполните следующие действия.
На компьютере, на котором размещен ЦС, нажмите кнопку "Пуск", выберите "Администрирование" и щелкните "Центр сертификации".
Правой кнопкой мыши щелкните имя центра сертификации (ЦС), затем щелкните "Свойства".
Щелкните вкладку "Расширения". Отметьте точки распространения списков отзыва сертификатов, для которых выбран параметр "Публиковать списки отзыва сертификатов в это расположение".
Если расположение публикации списка отзыва сертификатов недействительно, замените его на действительный путь.
Если в сообщении журнала событий указано расположение Active Directory в формате адреса протокола LDAP, выполните процедуру "Проверка наличия разрешений для точек распространения списков отзыва сертификатов Active Directory", чтобы убедиться, что ЦС имеет разрешения на запись для этого расположения.
Если в качестве точек распространения списков отзыв сертификатов вы используете настраиваемые расположения в сети, убедитесь, что компьютер, на котором размещен ЦС, имеет разрешения на запись на диск с операционной системой на другом компьютере.
Чтобы определить точки распространения списков отзыв сертификатов с помощью командной строки, выполните следующие действия.
Откройте окно командной строки в ЦС.
Введите "certutil -getreg ca\crlpublicationurls" и нажмите ВВОД.
Подтверждение разрешений точек распространения списков отзыва сертификатов в Active Directory
Чтобы подтвердить разрешения точек распространения списков отзыва сертификатов в Active Directory, выполните следующие действия.
На компьютере, на котором установлены средства управления Active Directory, нажмите кнопку "Пуск", выберите "Администрирование", затем щелкните "Службы и узлы Active Directory".
В меню "Просмотр" щелкните "Показать узел служб".
Дважды щелкните Services, затем дважды щелкните Public Key services.
Правой кнопкой мыши щелкните "AIA", затем щелкните "Свойства".
Щелкните вкладку "Безопасность" и убедитесь, что ЦС имеет разрешение на запись для этого расположения.
Проверка подключения к сети
Чтобы определить, имеются ли неполадки сетевого подключения между ЦС и контроллером домена, выполните следующие действия.
В ЦС нажмите кнопку "Пуск", введите "cmd" и нажмите ВВОД.
Введите ping <server_FQDN>, где server_FQDN — полное доменное имя контроллера домена (например, server1.contoso.com), и нажмите клавишу ВВОД.
Если вы можете подключиться к контроллеру домена, вы получите ответ следующего вида:
Ответ от IP_адрес: число байт=32 время=3мс TTL=59
Ответ от IP_адрес: число байт=32 время=20мс TTL=59
Ответ от IP_адрес: число байт=32 время=3мс TTL=59
Ответ от IP_адрес: число байт=32 время=6мс TTL=59
В командной строке введите "ping IP_address", где IP_address - это IP-адрес контроллера домена, и нажмите клавишу ВВОД.
Если подключение к контроллеру домена удается осуществить только с помощью IP-адреса, но не с помощью полного доменного имени, это свидетельствует о возможных ошибках разрешения имени узла службы доменных имен (DNS).
Если не удается осуществить подключение к контроллеру домена по IP-адресу, это свидетельствует о возможных неполадках сетевого подключения.
Проверьте наличие аппаратных ошибок и исправьте их, включая неправильную работу сетевой карты, отсоединенный сетевой кабель, а также все ошибки журнала событий, связанные с настройкой брандмауэра и IPsec.
Повторите эту процедуру для всех точек распространения списков отзыва сертификатов, которые не являются контроллерами домена.
Чтобы подтвердить правильность публикации списков отзыва сертификатов, выполните следующую процедуру для недавно выданного сертификата конечного субъекта (пользователя или компьютера).
Откройте окно командной строки на компьютере, подключенном к сети.
Введите certutil -url <cert.cer> и нажмите ВВОД.
Замените <cert.cer> именем файла сертификата, созданного путем экспорта сертификата с помощью мастера экспорта сертификатов.
В пункте Извлечение появившегося диалогового окна щелкните Списки CRL (из CDP), затем щелкните Извлечь.
Подтвердите, что все перечисленные точки распространения CRL имеют состояние Проверено.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 67 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.67" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">67</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>