해지를 검사할 수 없습니다.
체인 또는 경로 유효성 검사는 인증서 체인이 신뢰할 수 있는 자체 서명 인증서에서 종료될 때까지 최종 엔터티(사용자 또는 컴퓨터) 인증서 및 모든 CA(인증 기관) 인증서가 계층적으로 처리되는 프로세스입니다. 일반적으로 신뢰할 수 있는 자체 서명 인증서는 루트 CA 인증서입니다. 가용성, 유효성 및 CA 인증서에 대한 체인 유효성 검사와 관련된 문제가 있을 경우 AD CS(Active Directory 인증서 서비스)를 시작하지 못할 수 있습니다.
유효한 CA 인증서 및 체인을 로드하여 확인합니다.
인증서 체인 유효성 검사를 수행하려면 유효한 CA(인증 기관) 인증서에 액세스할 수 있는지 확인해야 합니다. 다음을 확인하여 유효한 CA 인증서 찾기와 관련된 문제를 해결할 수 있습니다.
유효한 CA 인증서는 CA를 호스트하는 컴퓨터에서 사용할 수 있습니다.
유효한 CA 인증서는 AIA 컨테이너에 있습니다.
CA 인증서 체인의 유효성을 검사할 수 있습니다.
체인에 있는 CA에 대한 CRL(인증서 해지 목록)이 만료된 경우 새 CRL이 생성됩니다.
이러한 절차를 수행하려면 CA 관리 권한이 있거나 적절한 권한을 위임받아야 합니다.
유효한 CA 인증서가 CA를 호스트하는 컴퓨터에 있는지 확인합니다.
유효한 CA 인증서가 CA를 호스트하는 컴퓨터에 있는지 확인하려면:
시작을 클릭하고 mmc를 입력한 다음 Enter 키를 누릅니다.
사용자 계정 컨트롤 대화 상자가 나타나면 표시되는 작업이 원하는 작업인지 확인한 다음 계속을 클릭합니다.
파일 메뉴에서 스냅인 추가/제거, 인증서, 추가를 차례대로 클릭합니다.
컴퓨터 계정을 클릭하고 다음을 클릭합니다.
마침을 클릭한 다음 확인을 클릭합니다.
콘솔 트리에서 인증서(로컬 컴퓨터)를 클릭한 다음 개인을 클릭합니다.
만료되지 않은 CA 인증서가 이 저장소에 있는지 확인합니다.
유효한 CA 인증서가 AIA 컨테이너에 있는지 확인합니다.
유효한 CA 인증서가 AIA 컨테이너에 있는지 확인하려면:
시작을 클릭하고 관리 도구를 가리킨 다음 Active Directory 사이트 및 서비스를 클릭합니다.
Active Directory 사이트 및 서비스 [도메인 이름]을(를) 클릭합니다.
보기 메뉴에서 서비스 노드 표시를 클릭합니다.
서비스를 두 번 클릭한 다음 공개 키 서비스를 두 번 클릭하고 AIA를 클릭합니다.
만료되지 않은 CA 인증서가 AIA 컨테이너에 있는지 확인합니다.
CA 인증서 체인 확인
CA 인증서 체인을 확인하려면:
명령 프롬프트 창을 엽니다.
CA 인증서에 대해 certutil -urlfetch -verify를 입력하고 Enter 키를 누릅니다.
AIA 컨테이너 및 CRL 배포 지점 네트워크 위치를 사용할 수 있는지, 체인에 있는 모든 인증서가 해지되지 않고 유효한지 그리고 유효한 CRL을 사용할 수 있는지 확인합니다.
AIA 또는 CRL 배포 지점 위치를 사용할 수 없는 경우 이러한 위치에 액세스하지 못하도록 하는 문제를 식별하여 해결합니다.
체인에 있는 인증서가 만료되었거나 해지된 경우 해당 인증서를 갱신합니다. CA 인증서를 다시 발급해야 하는 경우 체인에서 이 인증서 아래의 모든 인증서를 다시 발급해야 합니다.
체인에 있는 CA에 대한 CRL이 만료된 경우 이 CA에 대한 새 기본 및 델타 CRL을 생성하여 필요한 위치에 복사합니다.
CA가 오프라인 상태인 경우 CA를 다시 시작해야 할 수 있습니다.
CRL 확인 및 게시
필요한 경우 새 CRL을 확인하고 게시하려면:
문제의 원인인 CA에서 현재 게시된 CRL을 확인합니다. 이 CRL은 기본적으로 %windir%\System32\CertSrv\CertEnroll 폴더에 만들어집니다.
현재 이 위치에 있는 CRL이 만료되었거나 유효하지 않은 경우 명령 프롬프트 창을 열고 certutil -CRL을 입력한 다음 Enter 키를 눌러 새 CRL을 게시합니다.
새 기본 및 델타 CRL을 생성하려면:
CA를 호스트하는 컴퓨터에서 시작을 클릭하고 관리 도구를 가리킨 다음 인증 기관을 선택합니다.
콘솔 트리에서 해지된 인증서를 클릭합니다.
작업 메뉴에서 모든 작업을 가리킨 다음 게시를 클릭합니다.
이전에 게시된 CRL을 덮어쓰려면 새 CRL을 선택하고 현재 델타 CRL만 게시하려면 델타 CRL을 선택합니다.
Certutil 명령줄 도구를 사용하여 CRL을 만들려면:
CA를 호스트하는 컴퓨터에서 시작을 클릭하고 cmd를 입력한 다음 Enter 키를 누릅니다.
certutil -CRL을 입력하고 Enter 키를 누릅니다.
Certutil 명령줄 도구를 사용하여 CRL을 AD DS에 게시하려면:
명령 프롬프트 창을 엽니다.
certutil -dspublish "<crlname.crl>" ldap:///CN=<CA name>,CN=<CA hostname>,CN=CDP,CN=Public Key Services,CN=Ser vices,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint을(를) 입력하고 Enter 키를 누릅니다.
crlname.crl을 CRL 파일 이름으로, CA 이름 및 CA 호스트 이름을 CA 이름 및 CA를 실행하는 호스트 이름으로, contoso 및 com을 Active Directory 도메인의 네임스페이스로 바꿉니다.
CA(인증 기관) 인증서 및 해당 체인이 유효한지 확인하려면:
CA를 호스트하는 컴퓨터에서 시작을 클릭하고 mmc를 입력한 다음 Enter 키를 누릅니다.
사용자 계정 컨트롤 대화 상자가 나타나면 표시되는 작업이 원하는 작업인지 확인한 다음 계속을 클릭합니다.
파일 메뉴에서 스냅인 추가/제거, 인증서, 추가를 차례대로 클릭합니다.
컴퓨터 계정을 클릭하고 다음을 클릭합니다.
마침을 클릭한 다음 확인을 클릭합니다.
콘솔 트리에서 인증서(로컬 컴퓨터)를 클릭한 다음 개인을 클릭합니다.
만료되지 않은 CA 인증서가 이 저장소에 있는지 확인합니다.
인증서를 마우스 오른쪽 단추로 클릭하고 내보내기를 선택하여 인증서 내보내기 마법사를 시작합니다.
인증서를 Cert.cer이라는 파일로 내보냅니다.
Start, cmd를 차례로 입력하고 ENTER 키를 누릅니다.
certutil -urlfetch -verify <cert.cer>을(를) 입력하고 Enter 키를 누릅니다.
보고된 유효성 검사, 체인 만들기 또는 해지 확인 오류가 없을 경우 체인은 유효합니다.
| Target | Microsoft.Windows.CertificateServices.CARole.6.2 | ||
| Category | EventCollection | ||
| Enabled | True | ||
| Event_ID | 48 | ||
| Event Source | Microsoft-Windows-CertificationAuthority | ||
| Alert Generate | True | ||
| Alert Severity | Error | ||
| Alert Priority | High | ||
| Remotable | True | ||
| Alert Message |
| ||
| Event Log | Application |
| ID | Module Type | TypeId | RunAs |
|---|---|---|---|
| DS | DataSource | Microsoft.Windows.EventProvider | Default |
| Alert | WriteAction | System.Health.GenerateAlert | Default |
| WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
| WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
Home
KOR <Rule ID="Microsoft.Windows.CertificateServices.CARole.6.2.CertSvcEvents.48" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.2" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">48</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDd13dac2d6ac94865acec24b7e96ddef5"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>