Serviços de Certificado não puderam publicar uma lista de revogação de certificado (CRL).
Fornecer aos clientes as informações de que precisam para determinar se devem confiar em um certificado é uma das funções de segurança mais importantes de uma autoridade de certificação (AC) e infraestrutura de chave pública (PKI). Para o administrador, isso significa revogar imediatamente certificados não confiáveis que não atingiram as datas de expiração agendadas e publicar essas informações em listas de revogação de certificado (CRLs). Monitorar e tratar problemas com publicação e disponibilidade de CRL é um aspecto essencial da segurança de PKI.
Habilite o AD CS para publicar uma lista de revogação de certificado
Possíveis soluções para essa mensagem de log de evento incluem:
Se a mensagem de log de evento especificar um local do Active Directory que tiver sido formatada como um endereço de protocolo LDAP, confirme que a autoridade de certificação (AC) tem permissões de Gravar a esse local. Para fazer isso, siga o procedimento na seção "Confirmar permissões de ponto de distribuição da CRL do Active Directory".
Verifique a lista de controle de acesso em quaisquer locais de arquivo referidos na mensagem de log de evento para confirmar que o computador da AC tem permissões de Gravar para esses locais. Para fazer isso, siga o procedimento na seção "Confirmar permissões de ponto de distribuição da CRL".
Siga o procedimento em "Verificar conectividade de rede" para verificar a conectividade de rede entre a AC e o controlador de domínio.
Depois de quaisquer problemas de rede ou permissões terem sido resolvidos, use o procedimento na seção "Publicar nova CRL" para publicar uma nova CRL.
Se você não puder publicar uma nova CRL, confirme que o ponto de distribuição da CRL é válido seguindo o procedimento na seção "Confirmar a validade dos pontos de distribuição da CRL configurados".
Para executar esses procedimentos, você deve ter uma permissão de Gerenciar AC ou ter recebido a devida autoridade.
Confirmar permissões do ponto de distribuição da CRL do Active Directory
Para confirmar as permissões do ponto de distribuição da CRL do Active Directory:
Em um computador que tenha ferramentas de gerenciamento do Active Directory, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Sites e Serviços do Active Directory.
No menu Visualizar, clique em Mostrar Nó de Serviços.
Clique duas vezes em Services, Public Key Services.
Clique com o botão direito em AIA e em Propriedades.
Clique na guia Segurança e confirme que a AC tem permissão de Gravar para esse local.
Confirmar as permissões do ponto de distribuição da CRL do local do arquivo
Para confirmar as permissões do ponto de distribuição da CRL do local do arquivo:
Clique em Iniciar, digite o endereço de compartilhamento do arquivo que está usando para publicar as CRLs e pressione ENTER.
Clique com o botão direito em compartilhar arquivo e clique em Propriedades.
Clique na guia Segurança e confirme que a AC tem permissão de Gravar para esse local.
Verificar a conectividade de rede
Para determinar se há um problema de conectividade de rede entre a AC e o controlador de domínio:
Abra uma janela de prompt de comando no computador hospedando a AC.
Digite o ping <FQDN_servidor> e pressione ENTER, onde FQDN_servidor é o FQDN (nome de domínio totalmente qualificado) do controlador de domínio. Se conseguir conectar-se ao controlador de domínio, receberá uma reposta similar à seguinte:
Responda de IP_address: bytes=32 time=3ms TTL=59
Responda de IP_address: bytes=32 time=20ms TTL=59
Responda de IP_address: bytes=32 time=3ms TTL=59
Resposta de IP_address: bytes=32 time=6ms TTL=59 3.
No prompt de comando, digite o ping <endereço_IP>, onde <endereço_IP> é o endereço IP do controlador de domínio, e pressione ENTER.
Se puder conectar-se ao controlador de domínio com êxito através do endereço IP, mas não pelo FQDN, isto indica um possível problema com a resolução do nome de host do Sistema de Nome de Domínio (DNS).
Se não puder conectar-se ao controlador de domínio com êxito através do endereço IP, isto indica um possível problema com a conectividade da rede. Verifique e solucione qualquer problema de hardware, como uma placa de rede com mau funcionamento ou cabo de rede desconectado, bem como qualquer erro de log de evento relacionado à configuração de segurança do Protocolo de Internet (IPsec) da configuração de firewall.
Publicar uma nova CRL
Para publicar uma nova CRL usando o snap-in da Autoridade de Certificação:
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Clique com o botão direito em Certificados Revogados, aponte para Todas as Tarefas e clique em Publicar para publicar a nova CRL.
Para publicar uma nova CRL usando a ferramenta de linha de comando Certutil:
Abra uma janela de prompt de comando.
Para publicar as CRLs em todos os locais de publicação de CRL configurados, digite certutil -CRL e pressione ENTER.
Para publicar uma CRL diretamente em um local do Active Directory, digite ;certutil -dspublish "<crlname.crl>" ldap:///CN=<nome_AC>,CN=<nome_host_AC>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint e pressione ENTER.
Substitua crlname.crl pelo nome do seu arquivo de CRL, nome da AC e nome de host da AC pelo nome da AC e o nome do host em que a AC executa, e contoso e com pelo namespace do domínio do Active Directory.
Confirmar a validade dos pontos de distribuição de CRL configurados
Para confirmar a validade dos pontos de distribuição de CRL configurados:
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Clique com o botão direito no nome da AC e em Propriedades.
Clique na guia Extensões. Observe os locais do ponto de distribuição de CRL para os quais a caixa de seleção Publicar CRLs nesse local está marcada.
Também é possível determinar as URLs configuradas do ponto de distribuição de CRL abrindo uma janela de prompt de comando na AC e executando o seguinte comando: certutil -getreg ca\crlpublicationurls.
Para confirmar que a publicação dessa lista de revogação de certificado (CRL) está funcionando adequadamente, realize o procedimento a seguir em um certificado de entidade final (usuário ou computador) recentemente emitido.
Abra uma janela de prompt de comando em um computador conectado à rede.
Digite certutil -url <cert.cer> e pressione ENTER.
Substitua <cert.cer> pelo nome de um arquivo de certificado que você criou ao exportar um certificado usando o Assistente para Exportação de Certificados.
Na caixa de diálogo que aparece, sob Recuperar, clique em CRLs (no CDP) e em Recuperar.
Confirme que o status de todos os pontos de distribuição da CRL estão listados como Verificados.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 75 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.75" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">75</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID9cb8180955a3408180dc7d3ccd53cb81"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>