Nie można sprawdzić odwołania
Weryfikacja łańcucha lub ścieżki certyfikatów to proces polegający na hierarchicznym przetwarzaniu certyfikatów jednostki końcowej (użytkownika lub komputera) i wszystkich certyfikatów urzędu certyfikacji (CA), aż do zaufanego certyfikatu z podpisem własnym znajdującego się na końcu łańcucha certyfikatów. Zazwyczaj jest to certyfikat głównego urzędu certyfikacji. W razie problemów z dostępnością, poprawnością lub weryfikacją łańcucha certyfikatu urzędu certyfikacji uruchomienie Usług certyfikatów Active Directory (AD CS) może się nie powieść.
Załadowanie i potwierdzenie poprawności certyfikatu i łańcucha certyfikatów urzędu certyfikacji
Weryfikacja łańcucha certyfikatów wymaga potwierdzenia dostępności poprawnego certyfikatu urzędu certyfikacji (CA). W razie problemów z odnalezieniem poprawnego certyfikatu urzędu certyfikacji należy sprawdzić, czy spełnione są następujące warunki:
Na komputerze udostępniającym urząd certyfikacji dostępny jest prawidłowy certyfikat urzędu certyfikacji.
W kontenerze AIA istnieje prawidłowy certyfikat urzędu certyfikacji.
Łańcuch certyfikatów urzędu certyfikacji daje się zweryfikować.
W przypadku wygaśnięcia listy odwołania certyfikatów (CRL) dla jednego z urzędów certyfikacji w łańcuchu generowana jest nowa lista.
Aby wykonać te procedury, trzeba posiadać uprawnienie Zarządzaj urzędem certyfikacji lub otrzymać odpowiednie uprawnienia poprzez oddelegowanie.
Sprawdzanie, czy na komputerze udostępniającym urząd certyfikacji istnieje prawidłowy certyfikat urzędu certyfikacji
Aby sprawdzić, czy na komputerze udostępniającym urząd certyfikacji jest dostępny prawidłowy certyfikat urzędu certyfikacji:
Kliknij przycisk Start, wpisz polecenie mmc, a następnie naciśnij klawisz ENTER.
Jeśli zostanie wyświetlone okno dialogowe Kontrola konta użytkownika, upewnij się, że wymienione w nim działanie, jest tym, które chcesz wykonać, a następnie kliknij przycisk Kontynuuj.
W menu Plik kliknij polecenie Dodaj/Usuń przystawkę, kliknij opcję Certyfikaty, a następnie kliknij przycisk Dodaj.
Kliknij opcję Konto komputera, a następnie przycisk Dalej.
Kliknij przycisk Zakończ, a następnie przycisk OK.
W drzewie konsoli kliknij opcję Certyfikaty (Komputer lokalny), a następnie opcję Osobiste.
Upewnij się, że w tym magazynie istnieje niewygasły certyfikat urzędu certyfikacji.
Sprawdzanie, czy w kontenerze AIA istnieje prawidłowy certyfikat urzędu certyfikacji
Aby sprawdzić, czy w kontenerze AIA istnieje prawidłowy certyfikat urzędu certyfikacji:
Kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Lokacje i usługi Active Directory.
Kliknij opcję Lokacje i usługi Active Directory [nazwadomeny].
W menu Widok kliknij polecenie Pokaż węzeł usług.
Dwukrotnie kliknij opcję Usługi, a następnie opcję Usługi klucza publicznego, po czym kliknij opcję AIA.
Upewnij się, że w kontenerze AIA istnieje niewygasły certyfikat urzędu certyfikacji.
Weryfikowanie łańcucha certyfikatów urzędu certyfikacji
Aby zweryfikować łańcuch certyfikatów urzędu certyfikacji:
Otwórz okno wiersza polecenia.
Wpisz polecenie certutil -urlfetch -verify dotyczące certyfikatu urzędu certyfikacji i naciśnij klawisz ENTER.
Upewnij się, że lokalizacje sieciowe kontenera AIA i punktu dystrybucji list CRL są dostępne, wszystkie certyfikaty w łańcuchu są prawidłowe i nie zostały odwołane oraz dostępne są prawidłowe listy CRL.
Jeśli lokalizacje kontenera AIA lub punktu dystrybucji list CRL nie są dostępne, zidentyfikuj i rozwiąż problem uniemożliwiający dostęp do nich.
Jeśli łańcuch zawiera certyfikaty, które wygasły lub zostały odwołane, odnów te certyfikaty. W razie konieczności ponownego wystawienia certyfikatu urzędu certyfikacji konieczne będzie również ponowne wystawienie wszystkich certyfikatów znajdujących się w łańcuchu po tym certyfikacie.
Jeśli lista CRL dla jednego z urzędów certyfikacji w łańcuchu wygasła, wygeneruj dla tego urzędu nowe listy CRL (podstawową i różnicową) i skopiuj je do wymaganych lokalizacji.
Jeśli urząd certyfikacji jest w trybie offline, może być konieczne jego ponowne uruchomienie.
Sprawdzanie i publikowanie list CRL
Aby sprawdzić listy CRL i w razie potrzeby opublikować nowe:
Na komputerze urzędu certyfikacji, który jest źródłem problemu, sprawdź aktualną opublikowaną listę CRL, która domyślnie jest tworzona w folderze %windir%\System32\CertSrv\CertEnroll.
Jeśli obecne listy CRL w tej lokalizacji wygasły lub są nieprawidłowe, otwórz okno wiersza polecenia, wpisz polecenie certutil -CRL i naciśnij klawisz ENTER, aby opublikować nową listę CRL.
Aby wygenerować nową podstawową i różnicową listę CRL:
Na komputerze udostępniającym urząd certyfikacji kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i wybierz opcję Urząd certyfikacji.
W drzewie konsoli kliknij opcję Odwołane certyfikaty.
W menu Akcja wskaż polecenie Wszystkie zadania i kliknij polecenie Publikuj.
Wybierz opcję Nowa lista CRL, aby zastąpić wcześniej opublikowaną listę, lub opcję Różnicowa lista CRL, aby tylko opublikować aktualną listę różnicową.
Aby utworzyć listę CRL za pomocą narzędzia wiersza polecenia Certutil:
Na komputerze udostępniającym urząd certyfikacji kliknij przycisk Start, wpisz polecenie cmd i naciśnij klawisz ENTER.
Wpisz polecenie certutil -CRL i naciśnij klawisz ENTER.
Aby opublikować listy CRL w usługach AD DS za pomocą narzędzia wiersza polecenia Certutil:
Otwórz okno wiersza polecenia.
Wpisz certutil -dspublish "<crlname.crl>" ldap:///CN=<CA name>,CN=<CA hostname>,CN=CDP,CN=Public Key Services,CN=Ser vices,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint i naciśnij klawisz ENTER.
Nazwę crlname.crl zastąp nazwą używanego pliku listy CRL, zmienne „CA name” i „CA hostname” zastąp odpowiednio nazwą urzędu certyfikacji i nazwą hosta, na którym jest on uruchomiony, a ciągi „contoso” i „com” zastąp obszarem nazw używanej domeny Active Directory.
Aby sprawdzić poprawność certyfikatu i łańcucha certyfikatów urzędu certyfikacji:
Na komputerze udostępniającym urząd certyfikacji kliknij przycisk Start, wpisz polecenie mmc i naciśnij klawisz ENTER.
Jeśli zostanie wyświetlone okno dialogowe Kontrola konta użytkownika, upewnij się, że wymienione w nim działanie jest tym, które chcesz wykonać, a następnie kliknij przycisk Kontynuuj.
W menu Plik kliknij polecenie Dodaj/Usuń przystawkę, kliknij opcję Certyfikaty, a następnie kliknij przycisk Dodaj.
Kliknij opcję Konto komputera, a następnie przycisk Dalej.
Kliknij przycisk Zakończ, a następnie przycisk OK.
W drzewie konsoli kliknij opcję Certyfikaty (Komputer lokalny), a następnie opcję Osobiste.
Upewnij się, że w tym magazynie istnieje niewygasły certyfikat urzędu certyfikacji.
Kliknij ten certyfikat prawym przyciskiem myszy i wybierz polecenie Eksportuj, aby uruchomić Kreatora eksportu certyfikatów.
Eksportuj certyfikat do pliku o nazwie Cert.cer.
Kliknij przycisk Start, wpisz polecenie cmd, a następnie naciśnij klawisz ENTER.
Wpisz certutil -urlfetch -verify <cert.cer> i naciśnij klawisz ENTER.
Jeśli nie zostaną zgłoszone żadne błędy sprawdzania poprawności, budowy łańcucha ani sprawdzania odwołań, łańcuch jest prawidłowy.
Target | Microsoft.Windows.CertificateServices.CARole.6.2 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 48 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.2.CertSvcEvents.48" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.2" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">48</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDd13dac2d6ac94865acec24b7e96ddef5"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>