A tanúsítványszolgáltatás nem tudta közzétenni a visszavont tanúsítványok listáját.
Az ügyfelek számára azon információk biztosítása, amely alapján meg tudják határozni, hogy egy tanúsítvány megbízható-e, a hitelesítésszolgáltatók és a nyilvánoskulcs-infrastruktúrák egyik legfontosabb biztonsági funkciója. A rendszergazdák számára ez azt jelenti, hogy gyorsan vissza kell vonniuk a nem megbízható tanúsítványokat, amelyek nem érték el az ütemezett lejárati dátumukat, és közzé kell tenniük ezt az információt a visszavont tanúsítványok listáján. A visszavont tanúsítványok listájának közzétételével és rendelkezésre állásával kapcsolatos problémák megfigyelése és kijavítása kritikus eleme a nyilvánoskulcs-infrastruktúrák biztonságának.
Visszavont tanúsítványok listája közzétételének engedélyezése az Active Directory Tanúsítványszolgáltatás számára
Az eseménynapló-üzenet lehetséges megoldásai közé tartoznak a következők:
Ha az eseménynapló-üzenet olyan Active Directory helyet határoz meg, amely Lightweight Directory Access Protocol (LDAP) címként lett formázva, ellenőrizze, hogy a hitelesítésszolgáltató rendelkezik-e írási engedélyekkel ezen a helyen. Ehhez kövesse az „Active Directory visszavont tanúsítványok listájához tartozó terjesztésipont-engedélyek ellenőrzése” részben leírt eljárást.
Ellenőrizze a hozzáférés-vezérlési listát az eseménynapló-üzenetben felsorolt összes fájlhelyen annak ellenőrzéséhez, hogy a hitelesítésszolgáltató számítógép rendelkezik-e írási engedélyekkel ezeken a helyeken. Ehhez kövesse a „A visszavont tanúsítványok listájához tartozó terjesztésipont-engedélyek ellenőrzése” szakaszban leírt eljárást.
Kövesse a „Hálózati kapcsolat ellenőrzése” szakaszban leírt eljárást a hitelesítésszolgáltató és a tartományvezérlő közötti hálózati kapcsolat ellenőrzéséhez.
Miután minden hálózati vagy engedélyekkel kapcsolatos problémát megoldott, a „Visszavont tanúsítványok új listájának közzététele” szakaszban leírt eljárással tegye közzé a visszavont tanúsítványok új listáját.
Ha továbbra sem tud közzétenni új CRL listát, a „A visszavont tanúsítványok listájához konfigurált terjesztési pontok érvényességének ellenőrzése” szakaszban leírt eljárás végrehajtásával ellenőrizze, hogy a visszavont tanúsítványok listájának terjesztési pontja érvényes-e.
A műveleteket akkor hajthatja végre, ha rendelkezik hitelesítésszolgáltató-kezelési engedéllyel, vagy delegálás útján megkapta a megfelelő jogosultságokat.
Active Directory visszavont tanúsítványok listájához tartozó terjesztésipont-engedélyek ellenőrzése
Az Active Directory visszavont tanúsítványok listájához tartozó terjesztésipont-engedélyek ellenőrzéséhez hajtsa végre a következőket:
Egy olyan számítógépen, amely rendelkezik telepített Active Directory felügyeleti eszközökkel, kattintson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory – helyek és szolgáltatások parancsra.
A Nézet menüben kattintson a Szolgáltatás megjelenítése lehetőségre.
Kattintson duplán a Szolgáltatások lehetőségre, és kattintson duplán a Nyilvánoskulcs-szolgáltatások lehetőségre.
Kattintson a jobb gombbal az AIA elemre, és kattintson a Tulajdonságok lehetőségre.
Kattintson a Biztonság fülre, majd ellenőrizze, hogy a hitelesítésszolgáltató rendelkezik-e írási engedélyekkel a helyen.
Fájlhely visszavont tanúsítványok listája terjesztésipont-engedélyeinek ellenőrzése
A fájlhely visszavont tanúsítványok listája terjesztésipont-engedélyeinek ellenőrzéséhez hajtsa végre a következőket:
Kattintson a Start gombra, írja be a fájlmegosztási címet, amelyet a visszavont tanúsítványok listák közzétételéhez használ, majd nyomja le az ENTER gombot.
Kattintson a jobb gombbal a fájlmegosztásra, majd kattintson a Tulajdonságok parancsra.
Kattintson a Biztonság fülre, majd ellenőrizze, hogy a hitelesítésszolgáltató rendelkezik-e írási engedélyekkel a helyen.
Hálózati kapcsolat ellenőrzése
A hitelesítésszolgáltató és a tartományvezérlő közti hálózati kapcsolat hibáinak ellenőrzése:
Nyisson meg egy parancsablakot a hitelesítésszolgáltatót üzemeltető számítógépen.
Írja be a ping <kiszolgáló_FQDN_neve> parancsot, amelyben a kiszolgáló_FQDN_neve a tartományvezérlő teljes tartományneve. Ha sikerül csatlakoznia a tartományvezérlőhöz, a következőhöz hasonló válasz érkezik:
Válasz IP_cím: bájt=32 idő=3 ezredmp. TTL=59
Válasz IP_cím: bájt=32 idő=20 ezredmp. TTL=59
Válasz IP_cím: bájt=32 idő=3 ezredmp. TTL=59
Válasz IP_cím: bájt=32 idő=6 ezredmp. TTL=59 3.
Írja be a parancssorba a ping <IP-cím> parancsot, amelyben az <IP-cím> a tartományvezérlő IP-címe, majd nyomja le az ENTER billentyűt.
Ha sikerül csatlakoznia a tartományvezérlőhöz az IP-cím használatával, a teljes tartománynév használatával azonban nem, az utalhat a DNS-gazdanév feloldásának problémájára.
Ha nem sikerül csatlakoznia a tartományvezérlőhöz az IP-cím használatával, az a hálózati kapcsolat hibájára utalhat. Keresse meg és oldja meg az összes hardveres problémát, például a hibásan működő hálózati kártyát vagy a nem csatlakoztatott hálózati kábelt, továbbá az eseménynaplóban szereplő minden hibát, amely a tűzfal-konfiguráció IPSec konfigurációjával kapcsolatos.
Visszavont tanúsítványok új listájának közzététele
Új CRL közzététele a Hitelesítésszolgáltató beépülő modullal:
Kattintson a Start menü Felügyeleti eszközök pontjára, majd kattintson a Hitelesítésszolgáltató parancsra.
Kattintson a jobb gombbal a Visszavont tanúsítványok elemre, mutasson a Minden feladat menüpontra, majd kattintson a Közzététel parancsra a visszavont tanúsítványok új listájának közzétételéhez.
Visszavont tanúsítványok új listájának közzététele a Certutil parancssori eszközzel:
Nyisson meg egy parancsablakot.
A visszavont tanúsítványok listájának közzétételéhez a visszavont tanúsítványok listája összes konfigurált közzétételi helyén írja be a certutil -CRL parancsot, és nyomja le az ENTER billentyűt.
Ha a visszavont tanúsítványok listáját közvetlenül egy Active Directory-helyen szeretné közzétenni, írja be a certutil -dspublish "<crlnév.crl>" ldap:///CN=<CA-név>,CN=<CA-gazdagép neve>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint parancsot, majd nyomja le az ENTER billentyűt.
Cserélje le a crlname.crl fájlnevet a visszavont tanúsítványok saját listáját tartalmazó fájl nevével, a hitelesítésszolgáltató nevét és a hitelesítésszolgáltató gazdagépének nevét a saját hitelesítésszolgáltató nevével és azon gazdagép nevével, amelyen az fut, és a contoso és com paramétereket a saját Active Directory tartomány névterével.
A visszavont tanúsítványok listájához konfigurált terjesztési pontok érvényességének ellenőrzése
A visszavont tanúsítványok listájához konfigurált terjesztési pontok érvényességének ellenőrzéséhez tegye a következőket:
Kattintson a Start menü Felügyeleti eszközök pontjára, majd kattintson a Hitelesítésszolgáltató parancsra.
Kattintson a jobb gombbal a hitelesítésszolgáltató nevére, majd kattintson a Tulajdonságok lehetőségre.
Kattintson a Bővítmények fülre. Jegyezze fel a visszavont tanúsítványok listáinak azon terjesztésipont-helyeit, amelyeknél a Visszavont tanúsítványok listáinak közzététele ezen a helyen jelölőnégyzet be van jelölve.
A visszavont tanúsítványok listák konfigurált terjesztésipont-helyeinek URL-címeit a hitelesítésszolgáltatón a parancsablak megnyitásával, majd a következő parancs futtatásával is meghatározhatja: certutil -getreg ca\crlpublicationurls.
A visszavont tanúsítványok listájának közzététele funkció megfelelő működésének ellenőrzéséhez hajtsa végre a következő eljárást egy, a közelmúltban kiállított végfelhasználói (felhasználó vagy számítógép) tanúsítványon:
Nyissa meg a parancsablakot egy hálózatra csatlakozó számítógépen.
Írja be a certutil -url <tanúsítvány.cer> parancsot, majd nyomja le az ENTER billentyűt.
A <tanúsítvány.cer> helyőrző azt az exportált tanúsítványfájlt jelöli, amelyet a Tanúsítványexportáló varázslóval hozott létre.
A megjelenő párbeszédpanelen a Lekérés részben kattintson a Visszavont tanúsítványok listája (CDP-tárolóból) elemre, majd kattintson a Lekérés gombra.
Győződjön meg arról, hogy a lekért CRL terjesztési pontok állapota Ellenőrizve.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 75 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.75" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">75</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID9cb8180955a3408180dc7d3ccd53cb81"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>