Pravidlo kolekce pro událost se zdrojem CertificationAuthority a ID 7

Souhrn

Jednou z primárních funkcí certifikační autority (CA) je vyhodnocování žádostí o certifikát od klientů, a pokud jsou splněna předdefinovaná kritéria, vydávání certifikátů těmto klientům. Má-li zápis certifikátu proběhnout úspěšně, musí být před odesláním žádosti k dispozici řada prvků včetně certifikační autority s platným certifikátem certifikační autority, řádně nakonfigurované šablony certifikátů, klientských účtů a žádostí o certifikát; musí existovat způsob k odeslání žádosti klientem na certifikační autoritu, ověření žádosti a instalaci vystaveného certifikátu.

Řešení

Odstraňte podmínky, které brání schválení žádosti o certifikát

Běžnou příčinou neúspěšného zpracování žádostí o certifikát jsou problémy při sestavování řetězu. Pomocí následujícího postupu ověřte řetěz certifikátů pro certifikační autoritu (CA) a odstraňte případné zjištěné problémy:

• Zkontrolujte informace o uživatelském účtu služby Active Directory Domain Services (AD DS).

• Zkontrolujte informace šablony certifikátu.

• Zkontrolujte řetěz certifikátů pro certifikační autoritu.

• Zkontrolujte nejnovější seznamy odvolaných certifikátů (CRL).

• Publikujte nový seznam odvolaných certifikátů.

Pokud se tím problém nevyřeší, zkontrolujte a vyřešte problémy v následujících oblastech:

• Fronta zamítnutých žádostí pro certifikační autoritu

• Připojení ke službě AD DS

Zřejmě nejsou k dispozici podpisy nutné k dokončení žádosti o certifikát. Pokud tomu tak je:

• Umožněte dalším uživatelům s certifikátem registrační autority podepisovat žádosti o certifikát.

• Upravte šablonu certifikátu tak, aby vyžadovala méně podpisů registrační autority.

• Znovu odešlete žádost o certifikát.

Zkontrolujte informace o uživatelském účtu ve službě AD DS

Abyste mohli provést tento postup, musíte být členem skupiny Domain Admins, nebo musíte mít přiřazeno příslušné oprávnění.

Postup potvrzení informací o uživatelském účtu:

• Na řadiči domény klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Uživatelé a počítače služby Active Directory.

• Ve stromu konzoly vyberte doménu a skupinu uživatelů, ve které se má nacházet účet uživatele.

• Pokud existuje uživatelský účet, klikněte na účet pravým tlačítkem, klikněte na Vlastnosti a zkontrolujte, zda má uživatel správně nakonfigurován název DNS (Domain Name System). 

Zkontrolujte informace šablony certifikátu

Abyste mohli provést tento postup, musíte mít oprávnění pro správu certifikační autority, nebo musíte mít přiděleno příslušné oprávnění.

Postup kontroly informací šablony certifikátu:

• Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, zadejte příkaz certtmpl.msc a stiskněte klávesu ENTER.

• Klikněte pravým tlačítkem na šablonu certifikátu, jejíž problémy řešíte, a zkontrolujte, zda má uživatel nebo skupina oprávnění k zápisu certifikátu založeného na této šabloně.

Zkontrolujte řetěz certifikátů pro certifikační autoritu

Postup ověření řetězu pro certifikační autoritu:

• Klikněte na tlačítko Start, zadejte mmc a stiskněte klávesu ENTER.

• Pokud se otevře dialogové okno Řízení uživatelských účtů, zkontrolujte, jestli zobrazená akce odpovídá vašemu požadavku, a pak klikněte na Pokračovat.

• V nabídce Soubor klikněte na možnost Přidat nebo odebrat modul snap-in, klikněte na Certifikáty a poté na Přidat.

• Klikněte na možnost Účet počítače a pak na Další.

• Vyberte počítač hostující certifikační autoritu, klikněte na Dokončit a poté na OK.

• Vyberte každý certifikát certifikační autority v řetězu certifikátů a klikněte na Zobrazit certifikát.

• Klikněte na kartu Podrobnosti a kliknutím na Kopírovat do souboru spusťte Průvodce exportem certifikátu. Každý certifikát uložte s příponou .cer.

• Otevřete příkazový řádek a pro každý certifikát CA spusťte následující příkaz: certutil -urlfetch -verify <CAcert.cer>. Každý příkaz potvrďte stisknutím ENTER. Místo <CAcert.cer> zadejte název souboru certifikátu CA, který jste uložili v kroku 7.

• Stejný příkaz použijte se souborem certifikátu pro certifikát koncové entity (uživatel nebo počítač) vystavený certifikační autoritou k potvrzení seznamů odvolaných certifikátů pro samotnou certifikační autoritu i pro její řetěz.

• Vyřešte případné problémy uvedené ve výstupu příkazového řádku.

Vytvořte a publikujte nové seznamy odvolaných certifikátů

Pokud výstup příkazového řádku poukazuje na to, že vypršela platnost seznamu odvolaných certifikátů pro certifikační autoritu, vytvořte na certifikační autoritě nové základní a rozdílové seznamy odvolaných certifikátů a zkopírujte je do příslušných umístění. Tento postup může vyžadovat restartování certifikační autority, která je ve stavu offline.

V CA zkontrolujte aktuálně publikovaný seznam odvolaných certifikátů (CRL). CA ve výchozím nastavení vytváří seznamy CRL ve složce %windir%\System32\CertSrv\CertEnroll. Pokud vypršela platnost seznamů odvolaných certifikátů, které se aktuálně nacházejí v tomto umístění, nebo jsou tyto seznamy neplatné, můžete publikovat nový CRL pomocí následujícího postupu.

Postup publikování seznamu odvolaných certifikátů pomocí modulu snap-in Certifikační autorita:

• Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na možnost Certifikační autorita.

• Vyberte certifikační autoritu a rozbalte složky pod názvem certifikační autority.

• Klikněte pravým tlačítkem na složku Odvolané certifikáty.

• Klikněte na možnost Všechny úlohy a poté na Publikovat.

Seznamy odvolaných certifikátů lze rovněž generovat a publikovat pomocí příkazového řádku.

Postup publikování seznamu odvolaných certifikátů pomocí nástroje pro příkazový řádek Certutil:

• Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, zadejte příkaz cmd a stiskněte klávesu ENTER.

• Zadejte příkaz certutil -CRL a stiskněte klávesu ENTER. 

Je-li seznam odvolaných certifikátů identifikován jako nedostupný, ale v místním adresáři certifikační autority existuje platný seznam odvolaných certifikátů, zkontrolujte, zda se certifikační autorita může připojit k distribučnímu místu seznamu odvolaných certifikátů a poté pomocí předcházejících kroků znovu vygenerujte a publikujte seznamy odvolaných certifikátů.

Seznamy odvolaných certifikátů lze pomocí následujícího příkazu publikovat ručně do služby Active Directory Domain Services (AD DS):

certutil -dspublish"<název_seznamu_CRL.crl>" ldap:///CN=<název_CA>,CN=<název_hostitele_CA>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint

Místo <název_seznamu_CRL.crl> napište název svého souboru CRL a místo <název_CA> a <název_hostitele_CA> napište název své CA a název hostitele, na kterém běží. Dále místo <contoso> a <com> zadejte obor názvů své domény Active Directory.

Zkontrolujte nakonfigurovaná distribuční místa seznamu odvolaných certifikátů

Zkontrolujte všechna nakonfigurovaná distribuční místa seznamu odvolaných certifikátů a ověřte, zda publikace proběhla úspěšně a v síti jsou dostupné nové seznamy odvolaných certifikátů.

Abyste mohli provést tento postup, musíte mít oprávnění pro správu certifikační autority, nebo musíte mít přiděleno příslušné oprávnění.

Postup kontroly nakonfigurovaných distribučních míst seznamu odvolaných certifikátů pomocí modulu snap-in Certifikační autorita:

• Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na možnost Certifikační autorita.

• Klikněte pravým tlačítkem na název certifikační autority a klikněte na Vlastnosti.

• Klikněte na kartu Rozšíření.

• Prohlédněte si nakonfigurovaná distribuční místa seznamu odvolaných certifikátů a zkontrolujte, zda jsou správné názvy.

Postup kontroly adres URL nakonfigurovaných distribučních míst seznamu odvolaných certifikátů pomocí nástroje Certutil:

• Otevřete okno příkazového řádku na certifikační autoritě. 

• Zadejte příkaz certutil -getreg ca\crlpublicationurls a stiskněte klávesu ENTER.

• Prohlédněte si nakonfigurovaná distribuční místa seznamu odvolaných certifikátů a zkontrolujte, zda jsou správné názvy.

Zkontrolujte frontu zamítnutých žádostí na certifikační autoritě

Abyste mohli provést tento postup, musíte mít oprávnění pro správu certifikační autority, nebo musíte mít přiděleno příslušné oprávnění.

Postup kontroly fronty zamítnutých žádostí na certifikační autoritě pomocí modulu snap-in Certifikační autorita:

• Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na možnost Certifikační autorita.

• Klikněte na Zamítnuté žádosti.

• Hledejte zamítnuté žádosti, které byly odeslány v čase události nebo její blízkosti, a zjistěte doplňkové diagnostické informace ve sloupcích, jako je Zpráva o povaze žádosti, Kód stavu žádosti a Jméno odesílatele.

Postup kontroly zamítnutých žádostí pomocí nástroje Certutil:

• Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, zadejte příkaz cmd a stiskněte ENTER.

• Zadejte příkaz certutil -view LogFail a stiskněte klávesu ENTER.

• Napište certutil -view -restrict requestID="<nnn>" a stiskněte ENTER. Nahraďte  nnn  ID jednoho z neúspěšných požadavků ve výstupu příkazu LogFail.

Zkontrolujte připojení ke službě AD DS

Postup kontroly připojení služby AD CS (Active Directory Certificate Services) ke službě AD DS:

• V certifikační autoritě otevřete okno příkazového řádku.

• Zadejte ping <server_FQDN>, kde server_FQDN je plně kvalifikovaný název řadiče domény (například server1.contoso.com), a pak stiskněte ENTER.

• Pokud byl příkaz ping úspěšný, obdržíte odpověď podobnou následujícímu příkladu:

Odpověď od IP_adresa: bajty=32 čas=3ms TTL=59

Odpověď od IP_adresa: bajty=32 čas=20ms TTL=59

Odpověď od IP_adresa: bajty=32 čas=3ms TTL=59

Odpověď od IP_adresa: bajty=32 čas=6ms TTL=59 3

• Na příkazovém řádku zadejte příkaz ping <IP_adresa>, kde IP_adresa je IP adresa řadiče domény, a pak stiskněte ENTER.

• Pokud se vám podaří úspěšně připojit k řadiči domény prostřednictvím IP adresy, ale nikoli pomocí plně kvalifikovaného názvu domény, poukazuje to na možný problém s překladem názvu hostitele DNS (Domain Name System). Pokud se vám nedaří úspěšně připojit k řadiči domény prostřednictvím IP adresy, poukazuje to na možný problém s připojením k síti, konfigurací brány firewall nebo konfigurací protokolu IPSec (Internet Protocol security).

Vystavení dodatečných certifikátů registrační autority

Abyste mohli provést tento postup, musíte být členem místní skupiny Správci na počítači hostujícím certifikační autoritu (CA), nebo musíte mít přiděleno příslušné oprávnění.

Postup vystavení dodatečných certifikátů registrační autority:

• Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, zadejte příkaz certtmpl.msc a stiskněte klávesu ENTER.

• V podokně podrobností klikněte pravým tlačítkem na šablonu certifikátu registrační autority a poté klikněte na Vlastnosti. 

• Na kartě Zabezpečení přidejte jména uživatelů nebo názvy skupin, kterým chcete vystavit certifikáty registrační autority.

• V položce Název skupiny nebo jméno uživatele klikněte na jeden z nových objektů a poté v položce Oprávnění pro název objektu ve sloupci Povolit zaškrtněte políčka Číst a Zapsat.

• Zopakujte předchozí krok pro každý nový objekt a klikněte na tlačítko OK.

• Klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Certifikační autorita.

• Dvakrát klikněte na název certifikační autority.

• Klikněte pravým tlačítkem na kontejner Šablony certifikátů, klikněte na Nový a poté na Vystavovaná šablona certifikátu.

• Vyberte šablonu certifikátu a klikněte na tlačítko OK.

Úprava požadavků na podpis šablony certifikátu

Abyste mohli provést tento postup, musíte mít oprávnění pro správu certifikační autority, nebo musíte mít přiděleno příslušné oprávnění.

Postup úprava požadavků na podpis šablony certifikátu:

• Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, zadejte příkaz certtmpl.msc a stiskněte klávesu ENTER.

• V podokně podrobností klikněte pravým tlačítkem na šablonu certifikátu, kterou chcete změnit, a poté klikněte na položku Vlastnosti.

• Klikněte na kartu Požadavky na vystavování.

• V položce Tento počet ověřených podpisů zadejte počet podpisů registrační autority, které chcete použít.

• Zopakujte předchozí krok pro každý nový objekt a klikněte na tlačítko OK.

• Klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Certifikační autorita.

• Dvakrát klikněte na název certifikační autority.

• Klikněte pravým tlačítkem na kontejner Šablony certifikátů, klikněte na Nový a poté na Vystavovaná šablona certifikátu.

• Vyberte šablonu certifikátu a klikněte na tlačítko OK.

Další informace

Postup kontroly správného zpracovávání žádostí o certifikát:

• Klikněte na tlačítko Start, zadejte certmgr.msc a stiskněte klávesu ENTER.

• Pokud se otevře dialogové okno Řízení uživatelských účtů, zkontrolujte, jestli zobrazená akce odpovídá vašemu požadavku, a pak klikněte na Pokračovat.

• Ve stromu konzoly dvakrát klikněte na položku Osobní a poté klikněte na Certifikáty.

• V nabídce Akce přesuňte ukazatel na možnost Všechny úlohy a kliknutím na Požádat o nový certifikát spusťte Průvodce zápisem certifikátu. 

• Průvodce slouží k vytvoření a odeslání žádosti o certifikát pro jakýkoli dostupný typ certifikátu.

• V oblasti Výsledky instalace certifikátu zkontrolujte, zda byl zápis úspěšně dokončen a nejsou hlášeny chyby. Můžete rovněž kliknout na Podrobnosti a zobrazit doplňkové informace o certifikátu.