A CertificationAuthority forrással rendelkező és 75-es azonosítójú esemény gyűjtési szabálya

Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.75 (Rule)

A tanúsítványszolgáltatás nem tudta közzétenni a visszavont tanúsítványok listáját.

Knowledge Base article:

Összefoglalás

Az ügyfelek számára azon információk biztosítása, amely alapján meg tudják határozni, hogy egy tanúsítvány megbízható-e, a hitelesítésszolgáltatók és a nyilvánoskulcs-infrastruktúrák egyik legfontosabb biztonsági funkciója. A rendszergazdák számára ez azt jelenti, hogy gyorsan vissza kell vonniuk a nem megbízható tanúsítványokat, amelyek nem érték el az ütemezett lejárati dátumukat, és közzé kell tenniük ezt az információt a visszavont tanúsítványok listáján. A visszavont tanúsítványok listájának közzétételével és rendelkezésre állásával kapcsolatos problémák megfigyelése és kijavítása kritikus eleme a nyilvánoskulcs-infrastruktúrák biztonságának.

Megoldások

Visszavont tanúsítványok listája közzétételének engedélyezése az Active Directory Tanúsítványszolgáltatás számára

Az eseménynapló-üzenet lehetséges megoldásai közé tartoznak a következők:

Ha az eseménynapló-üzenet olyan Active Directory helyet határoz meg, amely Lightweight Directory Access Protocol (LDAP) címként lett formázva, ellenőrizze, hogy a hitelesítésszolgáltató rendelkezik-e írási engedélyekkel ezen a helyen. Ehhez kövesse az „Active Directory visszavont tanúsítványok listájához tartozó terjesztésipont-engedélyek ellenőrzése” részben leírt eljárást.
Ellenőrizze a hozzáférés-vezérlési listát az eseménynapló-üzenetben felsorolt összes fájlhelyen annak ellenőrzéséhez, hogy a hitelesítésszolgáltató számítógép rendelkezik-e írási engedélyekkel ezeken a helyeken. Ehhez kövesse a „A visszavont tanúsítványok listájához tartozó terjesztésipont-engedélyek ellenőrzése” szakaszban leírt eljárást.
Kövesse a „Hálózati kapcsolat ellenőrzése” szakaszban leírt eljárást a hitelesítésszolgáltató és a tartományvezérlő közötti hálózati kapcsolat ellenőrzéséhez.
Miután minden hálózati vagy engedélyekkel kapcsolatos problémát megoldott, a „Visszavont tanúsítványok új listájának közzététele” szakaszban leírt eljárással tegye közzé a visszavont tanúsítványok új listáját.
Ha továbbra sem tud közzétenni új CRL listát, a „A visszavont tanúsítványok listájához konfigurált terjesztési pontok érvényességének ellenőrzése” szakaszban leírt eljárás végrehajtásával ellenőrizze, hogy a visszavont tanúsítványok listájának terjesztési pontja érvényes-e.

A műveleteket akkor hajthatja végre, ha rendelkezik hitelesítésszolgáltató-kezelési engedéllyel, vagy delegálás útján megkapta a megfelelő jogosultságokat.

Active Directory visszavont tanúsítványok listájához tartozó terjesztésipont-engedélyek ellenőrzése

Az Active Directory visszavont tanúsítványok listájához tartozó terjesztésipont-engedélyek ellenőrzéséhez hajtsa végre a következőket:

Egy olyan számítógépen, amely rendelkezik telepített Active Directory felügyeleti eszközökkel, kattintson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory – helyek és szolgáltatások parancsra.
A Nézet menüben kattintson a Szolgáltatás megjelenítése lehetőségre.
Kattintson duplán a Szolgáltatások lehetőségre, és kattintson duplán a Nyilvánoskulcs-szolgáltatások lehetőségre.
Kattintson a jobb gombbal az AIA elemre, és kattintson a Tulajdonságok lehetőségre.
Kattintson a Biztonság fülre, majd ellenőrizze, hogy a hitelesítésszolgáltató rendelkezik-e írási engedélyekkel a helyen.

Fájlhely visszavont tanúsítványok listája terjesztésipont-engedélyeinek ellenőrzése

A fájlhely visszavont tanúsítványok listája terjesztésipont-engedélyeinek ellenőrzéséhez hajtsa végre a következőket:

Kattintson a Start gombra, írja be a fájlmegosztási címet, amelyet a visszavont tanúsítványok listák közzétételéhez használ, majd nyomja le az ENTER gombot.
Kattintson a jobb gombbal a fájlmegosztásra, majd kattintson a Tulajdonságok parancsra.
Kattintson a Biztonság fülre, majd ellenőrizze, hogy a hitelesítésszolgáltató rendelkezik-e írási engedélyekkel a helyen.

Hálózati kapcsolat ellenőrzése

A hitelesítésszolgáltató és a tartományvezérlő közti hálózati kapcsolat hibáinak ellenőrzése:

Nyisson meg egy parancsablakot a hitelesítésszolgáltatót üzemeltető számítógépen.
Írja be a ping <kiszolgáló_FQDN_neve> parancsot, amelyben a kiszolgáló_FQDN_neve a tartományvezérlő teljes tartományneve. Ha sikerül csatlakoznia a tartományvezérlőhöz, a következőhöz hasonló válasz érkezik:

Válasz IP_cím: bájt=32 idő=3 ezredmp. TTL=59

Válasz IP_cím: bájt=32 idő=20 ezredmp. TTL=59

Válasz IP_cím: bájt=32 idő=3 ezredmp. TTL=59

Válasz IP_cím: bájt=32 idő=6 ezredmp. TTL=59 3.

Írja be a parancssorba a ping <IP-cím> parancsot, amelyben az <IP-cím> a tartományvezérlő IP-címe, majd nyomja le az ENTER billentyűt.
Ha sikerül csatlakoznia a tartományvezérlőhöz az IP-cím használatával, a teljes tartománynév használatával azonban nem, az utalhat a DNS-gazdanév feloldásának problémájára.
Ha nem sikerül csatlakoznia a tartományvezérlőhöz az IP-cím használatával, az a hálózati kapcsolat hibájára utalhat. Keresse meg és oldja meg az összes hardveres problémát, például a hibásan működő hálózati kártyát vagy a nem csatlakoztatott hálózati kábelt, továbbá az eseménynaplóban szereplő minden hibát, amely a tűzfal-konfiguráció IPSec konfigurációjával kapcsolatos.

Visszavont tanúsítványok új listájának közzététele

Új CRL közzététele a Hitelesítésszolgáltató beépülő modullal:

Kattintson a Start menü Felügyeleti eszközök pontjára, majd kattintson a Hitelesítésszolgáltató parancsra.
Kattintson a jobb gombbal a Visszavont tanúsítványok elemre, mutasson a Minden feladat menüpontra, majd kattintson a Közzététel parancsra a visszavont tanúsítványok új listájának közzétételéhez.

Visszavont tanúsítványok új listájának közzététele a Certutil parancssori eszközzel:

Nyisson meg egy parancsablakot.
A visszavont tanúsítványok listájának közzétételéhez a visszavont tanúsítványok listája összes konfigurált közzétételi helyén írja be a certutil -CRL parancsot, és nyomja le az ENTER billentyűt.
Ha a visszavont tanúsítványok listáját közvetlenül egy Active Directory-helyen szeretné közzétenni, írja be a certutil -dspublish "<crlnév.crl>" ldap:///CN=<CA-név>,CN=<CA-gazdagép neve>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint parancsot, majd nyomja le az ENTER billentyűt.

Cserélje le a crlname.crl fájlnevet a visszavont tanúsítványok saját listáját tartalmazó fájl nevével, a hitelesítésszolgáltató nevét és a hitelesítésszolgáltató gazdagépének nevét a saját hitelesítésszolgáltató nevével és azon gazdagép nevével, amelyen az fut, és a contoso és com paramétereket a saját Active Directory tartomány névterével.

A visszavont tanúsítványok listájához konfigurált terjesztési pontok érvényességének ellenőrzése

A visszavont tanúsítványok listájához konfigurált terjesztési pontok érvényességének ellenőrzéséhez tegye a következőket:

Kattintson a Start menü Felügyeleti eszközök pontjára, majd kattintson a Hitelesítésszolgáltató parancsra.
Kattintson a jobb gombbal a hitelesítésszolgáltató nevére, majd kattintson a Tulajdonságok lehetőségre.
Kattintson a Bővítmények fülre. Jegyezze fel a visszavont tanúsítványok listáinak azon terjesztésipont-helyeit, amelyeknél a Visszavont tanúsítványok listáinak közzététele ezen a helyen jelölőnégyzet be van jelölve.

A visszavont tanúsítványok listák konfigurált terjesztésipont-helyeinek URL-címeit a hitelesítésszolgáltatón a parancsablak megnyitásával, majd a következő parancs futtatásával is meghatározhatja: certutil -getreg ca\crlpublicationurls.

További tudnivalók

A visszavont tanúsítványok listájának közzététele funkció megfelelő működésének ellenőrzéséhez hajtsa végre a következő eljárást egy, a közelmúltban kiállított végfelhasználói (felhasználó vagy számítógép) tanúsítványon:

Nyissa meg a parancsablakot egy hálózatra csatlakozó számítógépen.
Írja be a certutil -url <tanúsítvány.cer> parancsot, majd nyomja le az ENTER billentyűt.

A <tanúsítvány.cer> helyőrző azt az exportált tanúsítványfájlt jelöli, amelyet a Tanúsítványexportáló varázslóval hozott létre.

A megjelenő párbeszédpanelen a Lekérés részben kattintson a Visszavont tanúsítványok listája (CDP-tárolóból) elemre, majd kattintson a Lekérés gombra.
Győződjön meg arról, hogy a lekért CRL terjesztési pontok állapota Ellenőrizve.

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.2016

Category

EventCollection

Enabled

True

Event_ID

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

AD CS – visszavont tanúsítványok listájának (CRL) közzététele: nem sikerült közzétenni a különbözeti CRL gazdagépének adatait

Esemény leírása: {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.75" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">75</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageID9cb8180955a3408180dc7d3ccd53cb81"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>