Sertifika Hizmetleri bir sertifika iptal listesini (CRL) yayımlayamadı.
İstemcilere bir sertifikaya güvenip güvenmesi için gerek duyduğu bilgileri sağlamak, bir sertifika yetkilisinin (CA) ve ortak anahtar altyapısının (PKI) en önemli güvenlik işlevlerinden biridir. Yönetici için bu, zamanlanan süre bitimi tarihlerine ulaşmamış güvenilmeyen sertifikaları hızlıca iptal etmek ve bu bilgileri sertifika iptal listelerinde (CRL'ler) yayımlamak anlamına gelmektedir. CRL yayımlama ve kullanılabilirliği ile ilgili sorunlarının izlenmesi ve ele alınması, PKI güvenliğinin kritik bir özelliğidir.
AD CS'yi sertifika iptal listesi yayımlamak üzere etkinleştirin
Bu olay günlüğü iletisine yönelik olası çözümler arasında şunlar yer alır:
Olay günlüğü iletisi bir Basit Dizin Erişimi Protokolü (LDAP) adresi olarak biçimlendirilmiş bir Active Directory konumunu belirtiyorsa, sertifika yetkilisinin (CA) bu konuma yönelik Yazma izinlerine sahip olduğunu onaylayın. Bunu yapmak için, "Active Directory CRL dağıtım noktası izinlerini onaylayın" bölümündeki yordamı izleyin.
CA bilgisayarının bu konumlara yönelik Yazma izinlerine sahip olduğunu onaylamak için, olay günlüğü iletisinde başvurulan tüm dosya konumları üzerindeki erişim denetim listelerini denetleyin. Bunu yapmak için, "CRL dağıtım noktası izinlerini onaylayın" bölümündeki yordamı izleyin.
CA ve etki alanı denetleyicisi arasındaki ağ bağlantısını denetlemek için "Ağ bağlantısını denetleyin" bölümündeki yordamı izleyin.
Tüm ağ ve izin sorunları çözüldükten sonra, yeni bir CRL yayımlamak için "Yeni bir CRL yayımlayın" bölümündeki yordamı kullanın.
Hala yeni bir CRL yayımlayamıyorsanız, "Yapılandırılan CRL dağıtım noktalarının geçerliliğini onaylayın" bölümündeki yordamı izleyerek CRL dağıtım noktasının geçerli olduğunu onaylayın.
Bu yordamları gerçekleştirmek için CA'yı Yönet izinlerine sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.
Active Directory CRL dağıtım noktası izinlerini onaylayın
Active Directory CRL dağıtım noktası izinlerini onaylamak için:
Active Directory yönetim araçlarının yüklü olduğu bir bilgisayar üzerinde, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Active Directory Siteleri ve Hizmetleri'ne tıklayın.
Görünüm menüsünde, Hizmet Düğümünü Göster'e tıklayın.
Hizmetler'e ve Ortak Anahtar Hizmetleri'ne çift tıklayın.
AIA'ya sağ tıklayın ve Özellikler'e tıklayın.
Güvenlik sekmesine tıklayın ve CA'nın bu konuma yönelik Yazma izinleri olduğunu onaylayın.
Dosya konumu CRL dağıtım noktası izinlerini onaylayın
Dosya konumu CRL dağıtım noktası izinlerini onaylamak için:
Başlat'a tıklayın, CRL'leri yayımlamak için kullandığınız dosya paylaşımı adresini yazın ve ENTER tuşuna basın.
Dosya paylaşımına sağ tıklayın ve Özellikler'e tıklayın.
Güvenlik sekmesine tıklayın ve CA'nın bu konuma yönelik Yazma izinleri olduğunu onaylayın.
Ağ bağlantısını denetleyin
CA ile etkin alanı denetleyicisi arasında ağ bağlantısı sorunu olup olmadığını belirlemek için:
CA'yı barındıran bilgisayar üzerinde bir komut istemi penceresi açın.
ping <server_FQDN> yazın ve ENTER tuşuna basın (burada server_FQDN, etki alanı denetleyicisinin tam etki alanı adıdır (FQDN)). Etki alanı denetleyicisine bağlanabilmeniz durumunda, aşağıdakine benzer bir yanıt alırsınız:
IP_address yanıtı: bayt=32 süre=3ms TTL=59
IP_address yanıtı: bayt=32 süre=20ms TTL=59
IP_address yanıtı: bayt=32 süre=3ms TTL=59
Reply from IP_address: bytes=32 time=6ms TTL=59 3.
Komut isteminde ping <IP_address> yazın (burada <IP_address>, etki alanı denetleyicisinin IP adresidir) ve ardından ENTER tuşuna basın.
Etki alanı denetleyicisine bağlantının IP adresiyle başarılı olması ancak FQDN ile başarısız olması, Etki Alanı Adı Sistemi (DNS) ana bilgisayar ad çözümlemesiyle ilgili olası bir sorun olduğunu gösterir.
Etki alanı denetleyicisine bağlantının IP adresiyle başarısız olması, ağ bağlantısıyla ilgili olası bir sorun olduğunu gösterir. Arızalı ağ kartı veya bağlantısı kesilmiş ağ kablosu gibi donanım sorunlarının yanı sıra, güvenlik duvarı yapılandırması Internet Protokolü güvenliği (IPsec) yapılandırması ile ilgili olay günlüğü hatalarını denetleyin ve düzeltin.
Yeni bir CRL yayımlayın
Sertifika Yetkilisi ek bileşenini kullanarak yeni bir CRL yayımlamak için:
Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Sertifika Yetkilisi'ne tıklayın.
İptal Edilen Sertifikalar'a sağ tıklayın, Tüm Görevler'in üzerine gidin ve sonra yeni CRL'yi yayımlamak için Yayımla'ya tıklayın.
Certutil komut satırı aracını kullanarak yeni bir CRL yayımlamak için:
Bir komut istemi penceresi açın.
CRL'leri tüm yapılandırılan CRL yayımlama konumlarına yayımlamak için, certutil -CRL yazın ve ENTER tuşuna basın.
CRL'yi doğrudan Active Directory konumunda yayımlamak için certutil -dspublish "<crlname.crl>" ldap:///CN=<CA adı>,CN=<CA ana bilgisayar adı>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint yazın ve ENTER tuşuna basın.
crlname.crl ifadesini CRL dosyanızın adıyla, CA adı ve CA ana bilgisayar adını CA'nızın adı ve bu CA'nın çalıştırıldığı ana bilgisayarın adıyla ve contoso ve com öğelerini de Active Directory etki alanınızın ad alanıyla değiştirin.
Yapılandırılan CRL dağıtım noktalarının geçerliliğini onaylayın
Yapılandırılan CRL dağıtım noktalarının geçerliliğini onaylamak için:
Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Sertifika Yetkilisi'ne tıklayın.
CA'nın adına sağ tıklayın ve Özellikler'e tıklayın.
Uzantılar sekmesine tıklayın. CRL'leri bu konuma yayımla onay kutusunun işaretli olduğu CRL dağıtım noktası konumlarını not edin.
Ayrıca, yapılandırılan CRL dağıtım noktası URL'lerini belirlemek için CA üzerinde bir komut istemi penceresi açabilir ve şu komutu çalıştırabilirsiniz: certutil -getreg ca\crlpublicationurls.
Sertifika iptal listesi (CRL) yayımlamanın doğru şekilde çalıştığını onaylamak için, yakın zamanda verilmiş bir son varlık (kullanıcı veya bilgisayar) sertifikası üzerinde aşağıdaki yordamı gerçekleştirin:
Ağa bağlı bir bilgisayar üzerinde bir komut istemi penceresi açın.
certutil -url <cert.cer> yazın ve ENTER tuşuna basın.
<cert.cer> ifadesini Sertifika Dışarı Aktarma Sihirbazı'nı kullanıp sertifikayı dışarı aktararak oluşturduğunuz sertifika dosyasının adıyla değiştirin.
Görünen iletişim kutusunda, Al öğesinin altında, CRL'ler (CDP'den) ve Al öğelerine tıklayın.
Alınan tüm CRL dağıtım noktalarının durumunun Doğrulandı olarak listelendiğini onaylayın.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 75 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.75" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">75</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID9cb8180955a3408180dc7d3ccd53cb81"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>