Pravidlo kolekce pro událost se zdrojem OnlineResponder a ID 31

Souhrn

Ověření řetězu nebo cesty je proces, kterým koncová entita (uživatel nebo počítač) certifikuje. Všechny certifikáty vydané certifikační autoritou (CA) jsou zpracovávány hierarchicky, dokud není řetěz certifikátů ukončen na důvěryhodném certifikátu podepsaném svým držitelem (self-signed certificate). Obvykle se jedná o kořenový certifikát certifikační autority. Spuštění služby AD CS (Active Directory Certificate Services) se nemusí zdařit, pokud existují problémy s dostupností, platností a ověřením řetězu pro certifikát certifikační autority.

Řešení

Načtěte a zkontrolujte platnost certifikátu certifikační autority a řetězu

K provedení ověření řetězu certifikátů je nutné ověřit, zda je přístupný platný certifikát certifikační autority (CA). Problémy související s vyhledáním platného certifikátu certifikační autority (CA) lze vyřešit následujícími kontrolami:

• Zkontrolujte, zda je na počítači hostujícím certifikační autoritu k dispozici platný certifikát certifikační autority.

• Zkontrolujte, zda se v kontejneru přístupu k informacím autority nachází platný certifikát certifikační autority.

• Řetěz certifikátů CA je možné ověřit.

• Pokud vypršela platnost seznamu odvolaných certifikátů (CRL) pro certifikační autoritu v řetězu, bude vytvořen nový seznam CRL.

Abyste mohli provést tyto postupy, musíte mít oprávnění pro správu certifikační autority, nebo musíte mít přiděleno příslušné oprávnění.

Zkontrolujte, zda na počítači hostujícím certifikační autoritu existuje platný certifikát certifikační autority

Postup ověření, zda je na počítači hostujícím certifikační autoritu k dispozici platný certifikát certifikační autority:

• Klikněte na tlačítko Start, zadejte mmc a stiskněte klávesu ENTER.

• Pokud se otevře dialogové okno Řízení uživatelských účtů, zkontrolujte, jestli zobrazená akce odpovídá vašemu požadavku, a pak klikněte na Pokračovat.

• V nabídce Soubor klikněte na možnost Přidat nebo odebrat modul snap-in, klikněte na Certifikáty a poté na Přidat.

• Klikněte na možnost Účet počítače a pak na Další.

• Klikněte na Dokončit a pak na OK.

• Ve stromu konzoly klikněte na Certifikáty (Místní počítač) a pak na Osobní.

• Zkontrolujte, zda v tomto úložném prostoru existuje certifikát certifikační autority, jehož platnost dosud nevypršela. 

Zkontrolujte, zda se v kontejneru přístupu k informacím autority nachází platný certifikát certifikační autority

Postup ověření, zda se v kontejneru přístupu k informacím autority nachází platný certifikát certifikační autority:

• Klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Lokality a služby Active Directory.

• Klikněte na Lokality a služby Active Directory [název_domény].

• V nabídce Zobrazení klikněte na Zobrazit uzel služeb.

• Dvakrát klikněte na Služby, dvakrát klikněte na Služby veřejného klíče a klikněte na Přístup k informacím autority (AIA).

• Zkontrolujte, zda v kontejneru přístupu k informacím autority existuje certifikát certifikační autority, jehož platnost dosud nevypršela.

Zkontrolujte řetěz certifikátů certifikační autority

Postup kontroly řetězu certifikátů certifikační autority:

• Otevřete okno příkazového řádku.

• Zadejte příkaz certutil -urlfetch -verify on the CA certificate a stiskněte klávesu ENTER.

• Zkontrolujte, zda jsou k dispozici síťová umístění distribučních míst kontejneru přístupu k informacím autority a seznamu odvolaných certifikátů, zda jsou všechny certifikáty v řetězu platné a neodvolané, a zda jsou k dispozici platné seznamy odvolaných certifikátů.

• Pokud umístění distribučních míst přístupu k informacím autority (AIA) nebo seznamu odvolaných certifikátů nejsou dostupná, zjistěte a odstraňte problém, který brání v přístupu k nim.

• Jestliže skončila platnost jakýchkoli certifikátů v řetězu, nebo byla odvolána jejich platnost, je nutné tyto certifikáty obnovit. Je-li nutné znovu vydat certifikát certifikační autority, musí být znovu vydány všechny certifikáty, které se v řetězu nacházejí pod tímto certifikátem.

• Pokud vypršela platnost seznamu odvolaných certifikátů pro certifikační autoritu v řetězu, vytvořte na této certifikační autoritě nové základní a rozdílové seznamy odvolaných certifikátů a zkopírujte je do příslušných umístění.

• Jestliže je certifikační autorita v režimu offline, budete ji zřejmě muset restartovat.

Zkontrolujte a publikujte seznamy odvolaných certifikátů

Postup kontroly a v případě potřeby publikace nových seznamů odvolaných certifikátů:

• V certifikační autoritě, která je zdrojem problému, zkontrolujte aktuálně publikovaný seznam CRL, který se ve výchozím nastavení vytváří ve složce %windir%\System32\CertSrv\CertEnroll.

• Pokud vypršela platnost seznamů odvolaných certifikátů, které se aktuálně nacházejí v tomto umístění, nebo jsou tyto seznamy neplatné, otevřete okno příkazového řádku, zadejte příkaz certutil -CRL a stiskem klávesy ENTER publikujte nový seznam odvolaných certifikátů.

Postup vytvoření nových základních a rozdílových seznamů odvolaných certifikátů:

• Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a vyberte možnost Certifikační autorita.

• Ve stromu konzoly klikněte na položku Odvolané certifikáty.

• V nabídce Akce přesuňte ukazatel na položku Všechny úlohy a klikněte na Publikovat. 

• Vyberte možnost Nový seznam CRL, chcete-li přepsat předchozí publikovaný seznam odvolaných certifikátů, nebo možnost Rozdílový seznam CRL, pokud chcete publikovat pouze aktuální rozdílový seznam odvolaných certifikátů.

Postup vytvoření seznamu odvolaných certifikátů pomocí nástroje pro příkazový řádek Certutil:

• Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, zadejte příkaz cmd a stiskněte ENTER.

• Zadejte příkaz certutil -CRL a stiskněte klávesu ENTER.

Postup publikování seznamů odvolaných certifikátů do služby AD DS pomocí nástroje pro příkazový řádek Certutil:

• Otevřete okno příkazového řádku.

• Napište certutil -dspublish "<název_seznamu_CRL.crl>" ldap:///CN=<název_CA>,CN=<název_hostitele_CA>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint a stiskněte ENTER.

Nahraďte crlname.crl názvem svého souboru CRL, název certifikační autority a název hostitele certifikační autority názvem své certifikační autority resp. názvem hostitele, na kterém běží certifikační autorita, a contoso a com nahraďte oborem názvů své domény služby Active Directory Domain Services.

Externí

Postup kontroly platnosti certifikátu certifikační autority (CA) a řetězu:

• Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, zadejte příkaz mmc a stiskněte klávesu ENTER.

• Pokud se otevře dialogové okno Řízení uživatelských účtů, zkontrolujte, jestli zobrazená akce odpovídá vašemu požadavku, a pak klikněte na Pokračovat.

• V nabídce Soubor klikněte na možnost Přidat nebo odebrat modul snap-in, klikněte na Certifikáty a pak na Přidat.

• Klikněte na možnost Účet počítače a poté klikněte na Další.

• Klikněte na Dokončit a poté na tlačítko OK.

• Ve stromu konzoly klikněte na Certifikáty (Místní počítač) a poté klikněte na Osobní.

• Zkontrolujte, zda v tomto úložném prostoru existuje certifikát certifikační autority, jehož platnost dosud nevypršela.

• Klikněte pravým tlačítkem na tento certifikát a výběrem možnosti Export spusťte Průvodce exportem certifikátu.

• Exportujte certifikát do souboru s názvem Cert.cer.

• Klikněte na tlačítko Start, zadejte cmd a stiskněte klávesu ENTER.

• Napište certutil -urlfetch -verify <cert.cer> a stiskněte ENTER.

• Řetěz je platný, pokud nejsou hlášeny žádné chyby ověření, sestavení řetězu nebo kontroly odvolání.