Servizi certificati: impossibile pubblicare un elenco di revoche di certificati (CRL).
Fornire ai client le informazioni necessarie per stabilire se un certificato è affidabile è una delle funzionalità di sicurezza più importanti di un'autorità di certificazione (CA) e di un'infrastruttura a chiave pubblica (PKI). Per l'amministratore, questo significa revocare immediatamente i certificati non attendibili che non hanno raggiunto le date di scadenza pianificate e pubblicare queste informazioni negli elenchi di revoche di certificati (CRL). Il monitoraggio e la risoluzione dei problemi riguardanti la pubblicazione e la disponibilità dei CRL è un aspetto critico della sicurezza PKI.
Attivare la pubblicazione di un elenco di revoche di certificati in Servizi certificati Active Directory
Le possibili soluzioni a questo messaggio del registro eventi comprendono:
Se il messaggio del registro eventi indica un percorso di Active Directory che è stato formattato come indirizzo Lightweight Directory Access Protocol (LDAP), verificare che l'autorità di certificazione (CA) disponga di autorizzazioni di scrittura per tale percorso. A tale scopo, attenersi alla procedura indicata nella sezione "Verifica delle autorizzazioni dei punti di distribuzione CRL di Active Directory".
Controllare l'elenco di controllo di accesso nei percorsi dei file a cui si fa riferimento nel messaggio del registro eventi per verificare che il computer della CA disponga di autorizzazioni di scrittura per tali percorsi. A tale scopo, attenersi alla procedura indicata nella sezione "Verifica delle autorizzazioni dei punti di distribuzione CRL".
Seguire la procedura descritta nella sezione "Verifica della connettività di rete" per verificare la connettività di rete tra la CA e il controller di dominio.
Dopo la risoluzione di tutti i problemi relativi alla rete o alle autorizzazioni, utilizzare la procedura descritta nella sezione "Pubblicazione di un nuovo CRL" per pubblicare un nuovo CRL.
Se ancora non è possibile pubblicare un nuovo CRL, verificare che il punto di distribuzione CRL sia valido seguendo la procedura descritta nella sezione "Conferma della validità dei punti di distribuzione CRL configurati".
Per eseguire queste procedure è necessario disporre dell'autorizzazione Gestione CA oppure avere ricevuto in delega l'autorità appropriata.
Verificare le autorizzazioni dei punti di distribuzione CRL di Active Directory
Per verificare delle autorizzazioni dei punti di distribuzione CRL di Active Directory:
Su un computer su cui sono installati gli strumenti di amministrazione di Active Directory, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Siti e servizi di Active Directory.
Nel menu Visualizza, fare clic su Mostra nodo servizi.
Fare doppio clic su Services, quindi fare clic su Public Key Services.
Fare clic con il pulsante destro del mouse su AIA, quindi clic su Proprietà.
Fare clic sulla scheda Protezione e verificare che la CA disponga dell'autorizzazione di scrittura per questo percorso.
Verificare le autorizzazioni per i percorsi dei file del punto di distribuzione CRL
Per verificare le autorizzazioni per i percorsi dei file del punto di distribuzione CRL:
Fare clic su Start, digitare l'indirizzo della condivisione file che si sta utilizzando per pubblicare i CRL e premere INVIO.
Fare clic con il pulsante destro del mouse sulla condivisione file, quindi fare clic su Proprietà.
Fare clic sulla scheda Protezione e verificare che la CA disponga dell'autorizzazione di scrittura per questo percorso.
Verificare la connettività di rete
Per determinare se esiste un problema relativo alla connettività di rete tra la CA e il controller di dominio:
Aprire una finestra del prompt dei comandi sul computer su cui si trova la CA.
Digitare ping <FQDN_server>, dove FQDN_server è il nome di dominio completo del controller di dominio, quindi premere INVIO. Se è possibile connettersi al controller di dominio, si riceverà una risposta simile alla seguente:
Reply from IP_address: bytes=32 time=3ms TTL=59
Reply from IP_address: bytes=32 time=20ms TTL=59
Reply from IP_address: bytes=32 time=3ms TTL=59
Reply from IP_address: bytes=32 time=6ms TTL=59 3.
Al prompt dei comandi digitare ping <indirizzo_IP>, dove <indirizzo_IP> è l'indirizzo IP del controller di dominio, quindi premere INVIO.
Se la connessione al controller di dominio tramite indirizzo IP ha esito positivo, mentre la connessione tramite nome di dominio completo ha esito negativo, è possibile che si sia verificato un problema relativo alla risoluzione dei nomi host DNS.
Se la connessione al controller di dominio tramite indirizzo IP ha esito negativo, è possibile che si sia verificato un problema relativo alla connettività di rete. Individuare e risolvere eventuali problemi hardware, come ad esempio una scheda di rete che non funziona correttamente o un o cavo di rete scollegato, ed eventuali errori del registro eventi relativi alla configurazione di Internet Protocol Security (IPSec) nel firewall.
Pubblicare un nuovo CRL
Per pubblicare un nuovo CRL usando lo snap-in Autorità di certificazione:
Fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Autorità di certificazione.
Fare clic con il pulsante destro del mouse su Certificati revocati, scegliere Tutte le attività, quindi fare clic su Pubblica per pubblicare il nuovo CRL.
Per pubblicare un nuovo CRL utilizzando lo strumento della riga di comando Certutil:
Aprire una finestra del prompt dei comandi.
Per pubblicare i CRL su tutti i percorsi di pubblicazione configurati, digitare -CRL e premere INVIO.
Per pubblicare un CRL direttamente in un percorso Active Directory, digitare certutil -dspublish"<nomeCRL.crl>" ldap:///CN=<nome CA>,CN=<nome host CA>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint, quindi premere INVIO.
Sostituire crlname.crl con il nome del file CRL, il nome CA e il nome host con il nome della CA in uso e il nome dell'host su cui è in esecuzione la CA, e contoso e com con lo spazio dei nomi del proprio dominio Active Directory.
Verificare la validità dei punti di distribuzione Elenco di revoche di certificati (CRL) configurati
Verifica della validità dei punti di distribuzione CRL configurati:
Fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Autorità di certificazione.
Fare clic con il pulsante destro del mouse sul nome della CA, quindi fare clic su Proprietà.
Fare clic sulla scheda Estensioni. Prendere nota dei percorsi dei punti di distribuzione CRL per i quali è stata selezionata la casella di controllo Pubblica CRL nel percorso specificato.
È anche possibile determinare gli URL dei punti di distribuzione CRL configurati aprendo una finestra del prompt dei comandi nella CA ed eseguendo il seguente comando: certutil -getreg ca\crlpublicationurls.
Per verificare che l'elenco di revoche di certificati (CRL) funzioni correttamente, effettuare la procedura riportata di seguito su un certificato di entità finale (utente o computer) emesso di recente:
Aprire una finestra del prompt dei comandi su un computer connesso alla rete.
Digitare certutil -url <certificato.cer> e premere INVIO.
Sostituire <certificato.cer> con il nome di un file di certificato creato esportando un certificato con l'Esportazione guidata certificati.
Nella finestra di dialogo che verrà visualizzata, sotto Recupera, fare clic su CRL (da CDP), quindi fare clic su Recupera.
Verificare che lo stato di tutti i punti di distribuzione Elenco di revoche di certificati (CRL) recuperati sia elencato come Verificato.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 75 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.75" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">75</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID9cb8180955a3408180dc7d3ccd53cb81"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>