Die Zertifikatsdienste konnten keine Zertifikatsperrliste veröffentlichen.
Eine der wichtigsten Sicherheitsfunktionen einer Zertifizierungsstelle und einer Public Key-Infrastruktur ist es, für Clients die Informationen bereitzustellen, die sie zum Ermitteln benötigen, ob ein Zertifikat vertrauenswürdig ist. Für den Administrator bedeutet dies, nicht vertrauenswürdige Zertifikate umgehend zu sperren, die ihre geplanten Ablaufdaten nicht erreicht haben, und diese Informationen in Zertifikatsperrlisten zu veröffentlichen. Die Überwachung und Behandlung von Problemen mit der Veröffentlichung und Verfügbarkeit von Zertifikatsperrlisten ist ein wichtiger Aspekt der Sicherheit der Public Key-Infrastruktur.
Aktivieren Sie die Active Directory-Zertifikatsdienste, um eine Zertifikatsperrliste zu veröffentlichen.
Nachfolgend sind einige der möglichen Lösungen für diese Ereignisprotokollnachricht aufgeführt:
Wenn in der Ereignisprotokollnachricht ein Active Directory-Speicherort angegeben wird, der als LDAP-Adresse (Lightweight Directory Access Protocol) formatiert wurde, bestätigen Sie, dass die Zertifizierungsstelle über die Schreibberechtigung für diesen Speicherort verfügt. Befolgen Sie dazu das Verfahren im Abschnitt "Verteilungspunktberechtigungen für Active Directory-Zertifikatsperrlisten bestätigen".
Prüfen Sie die Zugriffssteuerungsliste für alle Speicherorte, auf die in der Ereignisprotokollnachricht verwiesen wird, um zu bestätigen, dass der Zertifizierungsstellencomputer über die Schreibberechtigungen für diese Speicherorte verfügt. Befolgen Sie dazu das Verfahren im Abschnitt "Verteilungspunktberechtigungen für Zertifikatsperrlisten bestätigen".
Befolgen Sie das Verfahren im Abschnitt "Netzwerkverbindungen überprüfen", um die Netzwerkverbindungen zwischen der Zertifizierungsstelle und dem Domänencontroller zu prüfen.
Nachdem alle Netzwerk- oder Berechtigungsprobleme behoben wurden, verwenden Sie das Verfahren im Abschnitt "Neue Zertifikatsperrliste veröffentlichen", um eine neue Zertifikatsperrliste zu veröffentlichen.
Wenn Sie weiterhin keine neue Zertifikatsperrliste veröffentlichen können, bestätigen Sie, dass der Verteilungspunkt der Sperrliste gültig ist, indem Sie das Verfahren im Abschnitt "Gültigkeit von konfigurierten Verteilungspunkten der Zertifikatsperrliste bestätigen" befolgen.
Zum Ausführen dieser Verfahren müssen Sie über die Berechtigung "Zertifizierungsstelle verwalten" verfügen, oder an Sie müssen die entsprechenden Berechtigungen delegiert worden sein.
Verteilungspunktberechtigungen für Active Directory-Zertifikatsperrlisten bestätigen
So bestätigen Sie Verteilungspunktberechtigungen für Active Directory-Zertifikatsperrlisten:
Klicken Sie auf einem Computer mit installierten Active Directory-Verwaltungstools auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Active Directory-Standorte und -Dienste".
Klicken Sie im Menü "Ansicht" auf "Dienstknoten anzeigen".
Doppelklicken Sie auf "Services" und dann auf "Public Key Services".
Klicken Sie mit der rechten Maustaste auf "AIA", und klicken Sie dann auf "Eigenschaften".
Klicken Sie auf die Registerkarte "Sicherheit" und bestätigen Sie, dass die Zertifizierungsstelle über die Schreibberechtigung für diesen Speicherort verfügt.
Verteilungspunktberechtigungen für Zertifikatsperrlisten für Speicherorte bestätigen
So bestätigen Sie Verteilungspunktberechtigungen für Zertifikatsperrlisten für Speicherorte:
Klicken Sie auf "Start", geben Sie die Adresse der zum Veröffentlichen der Zertifikatsperrliste verwendeten Dateifreigabe ein, und drücken Sie die EINGABETASTE.
Klicken Sie mit der rechten Maustaste auf die Dateifreigabe, und klicken Sie dann auf "Eigenschaften".
Klicken Sie auf die Registerkarte "Sicherheit" und bestätigen Sie, dass die Zertifizierungsstelle über die Schreibberechtigung für diesen Speicherort verfügt.
Netzwerkverbindungen überprüfen
So ermitteln Sie, ob ein Netzwerkverbindungsproblem zwischen der Zertifizierungsstelle und dem Domänencontroller besteht:
Öffnen Sie ein Eingabeaufforderungsfenster auf dem Computer, der die Zertifizierungsstelle hostet.
Geben Sie ping <server_FQDN> ein, und drücken Sie dann die EINGABETASTE, wobei "server_FQDN" der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) des Domänencontrollers ist. Wenn Sie eine Verbindung zum Domänencontroller herstellen können, erhalten Sie eine Antwort wie die folgende:
Antwort von IP-Adresse: Bytes=32 Zeit=3ms TTL=59
Antwort von IP-Adresse: Bytes=32 Zeit=20ms TTL=59
Antwort von IP-Adresse: Bytes=32 Zeit=3ms TTL=59
Antwort von IP-Adresse: Bytes=32 Zeit=6ms TTL=59 3.
Geben Sie an der Eingabeaufforderung ping <IP_address> ein, wobei "<IP_address>" die IP-Adresse des Domänencontrollers ist, und drücken Sie dann die EINGABETASTE.
Wenn Sie über die IP-Adresse, jedoch nicht über den FQDN eine Verbindung mit dem Domänencontroller herstellen können, liegt möglicherweise ein Problem bei der Auflösung des DNS-Hostnamens (Domain Name System) vor.
Wenn Sie über die IP-Adresse keine Verbindung zum Domänencontroller herstellen können, liegt möglicherweise ein Problem mit der Netzwerkverbindung vor. Prüfen Sie auf mögliche Hardwareprobleme, z. B. eine nicht funktionierende Netzwerkkarte oder ein nicht angeschlossenes Netzwerkkabel, sowie auf alle Ereignisprotokollfehler, die sich auf die IPsec-Konfiguration der Firewallkonfiguration beziehen, und beheben Sie diese.
Neue Zertifikatsperrliste veröffentlichen
So veröffentlichen Sie eine neue Zertifikatsperrliste mithilfe des Snap-Ins "Zertifizierungsstelle":
Klicken Sie auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Zertifizierungsstelle".
Klicken Sie mit der rechten Maustaste auf "Gesperrte Zertifikate", zeigen Sie auf "Alle Aufgaben", und klicken Sie dann auf "Veröffentlichen", um die neue Zertifikatsperrliste zu veröffentlichen.
So veröffentlichen Sie eine neue Zertifikatsperrliste mithilfe des Befehlszeilentools "Certutil":
Öffnen Sie ein Eingabeaufforderungsfenster.
Zum Veröffentlichen von Zertifikatsperrlisten an allen konfigurierten Veröffentlichungsorten von Zertifikatsperrlisten geben Sie "certutil -CRL" ein, und drücken Sie die EINGABETASTE.
Geben Sie certutil -dspublish "<crlname.crl>" ldap:///CN=<CA name>,CN=<CA hostname>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint ein, und drücken Sie die EINGABETASTE, um eine Zertifikatsperrliste direkt für einen Active Directory-Standort zu veröffentlichen.
Ersetzen Sie "Sperrlistenname.crl" durch den Namen Ihrer Sperrlistendatei, "Zertifizierungsstellenname" durch Ihren Zertifizierungsstellennamen und "Zertifizierungsstellen-Hostname" durch den Host, auf dem diese Zertifizierungsstelle ausgeführt wird. Ersetzen Sie "contoso" und "com" durch den Namespace Ihrer Active Directory-Domäne.
Gültigkeit von konfigurierten Verteilungspunkten der Zertifikatsperrliste bestätigen
So bestätigen Sie die Gültigkeit von konfigurierten Verteilungspunkten der Zertifikatsperrliste:
Klicken Sie auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Zertifizierungsstelle".
Klicken Sie mit der rechten Maustaste auf den Namen der Zertifizierungsstelle, und klicken Sie dann auf "Eigenschaften".
Klicken Sie auf die Registerkarte "Erweiterungen". Beachten Sie die Verteilungspunktorte der Zertifikatsperrliste, für die das Kontrollkästchen "Sperrlisten an diesem Ort veröffentlichen" aktiviert ist.
Sie können die URLs der Verteilungspunkte der Zertifikatsperrliste auch ermitteln, indem Sie ein Eingabeaufforderungsfenster für die Zertifizierungsstelle öffnen und den folgenden Befehl ausführen: "certutil -getreg ca\crlpublicationurls".
Führen Sie das folgende Verfahren mit einem vor Kurzem ausgestellten Zertifikat für eine Endeinheit (Benutzer oder Computer) aus, um die ordnungsgemäße Funktion der Veröffentlichung der Zertifikatsperrliste zu bestätigen:
Öffnen Sie ein Eingabeaufforderungsfenster auf einem Computer, der mit dem Netzwerk verbunden ist.
Geben Sie certutil -url <cert.cer> ein, und drücken Sie die EINGABETASTE.
Ersetzen Sie <cert.cer> durch den Namen einer Zertifikatdatei, die Sie mit dem Zertifikatexport-Assistenten durch Exportieren eines Zertifikats erstellt haben.
Klicken Sie in dem sich öffnenden Dialogfeld unter Abrufen auf Sperrlisten (vom CDP), und klicken Sie dann auf Abrufen.
Bestätigen Sie, dass der Status aller abgerufenen Zertifikatsperrlisten-Verteilungspunkte als Überprüft aufgelistet wird.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 75 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.75" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">75</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID9cb8180955a3408180dc7d3ccd53cb81"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>