Невозможно проверить отзыв
В ходе процесса проверки цепочки или пути сертификаты конечного субъекта (пользователя или компьютера) и все сертификаты центра сертификации (ЦС) обрабатываются по иерархии, пока цепочка сертификатов не завершится надежным самозаверяющим сертификатом. Обычно это сертификат корневого ЦС. Может произойти ошибка запуска служб сертификации Active Directory, если имеются проблемы с доступностью, действительностью или проверкой цепочки сертификата ЦС.
Загрузка и подтверждение действительного сертификата ЦС и цепочки
Для осуществления проверки цепочки сертификатов необходимо подтвердить доступность действительного сертификата центра сертификации (ЦС). Проблемы, связанные с обнаружением действительного сертификата ЦС, можно решить путем проверки следующего.
Действительный сертификат ЦС доступен на компьютере, на котором размещен ЦС.
Действительный сертификат существует в контейнере AIA.
Возможна проверка цепочки сертификатов ЦС.
Если срок действия списка отзыва сертификатов для ЦС в цепочке истек, формируется новый список отзыва сертификатов.
Для выполнения этих процедур необходимо иметь разрешение на управление ЦС либо обладать соответствующими делегированными полномочиями.
Убедитесь в том, что действительный сертификат ЦС существует на компьютере, на котором размещен ЦС.
Чтобы подтвердить наличие действительного сертификата ЦС на компьютере, на котором размещен ЦС, выполните следующие действия.
Нажмите кнопку "Пуск", введите "mmc", а затем нажмите клавишу ВВОД.
Если появляется диалоговое окно "Контроль учетных записей", убедитесь в том, что в окне отображено нужное действие, затем нажмите кнопку "Продолжить".
В меню "Файл" щелкните "Добавить или удалить оснастку", щелкните "Сертификаты" и "Добавить".
Щелкните "Учетная запись компьютера", затем щелкните "Далее".
Щелкните "Готово", а затем "OK".
В дереве консоли щелкните "Сертификаты (локальный компьютер)", затем щелкните "Личное".
Подтвердите наличие в хранилище сертификата ЦС, срок действия которого не истек.
Подтвердите наличие действительного сертификата ЦС в контейнере AIA
Для подтверждения наличия действительного сертификата ЦС в контейнере AIA выполните следующие действия.
Нажмите кнопку "Пуск", выберите "Администрирование", затем щелкните "Службы и узлы Active Directory".
Щелкните "Службы и узлы Active Directory" [имя_домена].
В меню "Просмотр" щелкните "Показать узел служб".
Дважды щелкните Services, дважды щелкните Public Key services, затем щелкните "AIA".
Подтвердите наличие в контейнере AIA сертификата ЦС, срок действия которого не истек.
Выполните проверку цепочки сертификатов ЦС.
Для проверки цепочки сертификатов ЦС выполните следующие действия.
Откройте окно командной строки.
В сертификате ЦС введите "certutil -urlfetch -verify" и нажмите клавишу ВВОД.
Подтвердите наличие расположений в сети точек распространения контейнера AIA и списков отзыва сертификатов, наличие действительных списков отзыва сертификатов, а также то, что все сертификаты цепочки действительны и не отозваны.
Если расположения точек распространения AIA или списка отзыва сертификатов недоступны, определите и решите проблему, которая препятствует доступу к ним.
Если какие-либо сертификаты в цепочке были отозваны или срок их действия истек, обновите эти сертификаты. Если необходимо перевыдать сертификат ЦС, все сертификаты, находящиеся в цепочке под ним, должны быть перевыданы.
Если срок действия списка отзыва сертификатов для ЦС в цепочке истек, сформируйте новые базовый и разностный списки отзыва сертификатов в этом ЦС и скопируйте их в нужные расположения.
Если ЦС находится в автономном режиме, может понадобиться перезапустить его.
Проверка и публикация списков отзыва сертификатов
Чтобы проверить и, при необходимости, опубликовать новые списки отзыва сертификатов, выполните следующие действия.
В ЦС, который является источником проблемы, проверьте текущий опубликованный список отзыва сертификатов, по умолчанию созданный в папке "%windir%\System32\CertSrv\CertEnroll".
Если списки отзыва сертификатов, в данный момент находящиеся в этом расположении, недействительны или срок их действия истек, откройте окно командной строки, введите "certutil -CRL" и нажмите ВВОД, чтобы опубликовать новый список отзыва сертификатов.
Для формирования новых базового и разностного списков отзыва сертификатов:
На компьютере, на котором размещен ЦС, нажмите кнопку "Пуск", выберите "Администрирование" и щелкните "Центр сертификации";
В дереве консоли щелкните "Отозванные сертификаты".
В меню "Действие" выберите "Все задачи" и щелкните "Опубликовать";
выберите новый список отзыва сертификатов для перезаписи ранее опубликованного списка отзыва сертификатов или выберите "Разностный список отзыва сертификатов", если необходимо опубликовать только текущий разностный список отзыва сертификатов.
Чтобы создать список отзыва сертификатов с помощью программы командной строки Certutil, выполните следующие действия.
На компьютере, на котором размещен ЦС, нажмите кнопку "Пуск", введите "cmd" и нажмите ВВОД.
Введите "certutil -CRL" и нажмите ВВОД.
Чтобы опубликовать списки отзыва сертификатов в доменных службах Active Directory с помощью программы командной строки Certutil, выполните следующие действия.
Откройте окно командной строки.
Введите "certutil -dspublish "<crlname.crl>" ldap:///CN=<CA name>,CN=<CA hostname>,CN=CDP,CN=Public Key Services,CN=Ser vices,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint" и нажмите клавишу ВВОД.
Замените "crlname.crl" именем файла списка отзыва сертификатов, "имя ЦС" и "имя главного узла ЦС" — именами своего ЦС и узла, на котором он запущен, а "contoso" и "com" — пространством имен домена Active Directory.
Чтобы подтвердить действительность сертификата центра сертификации (ЦС) и цепочки, выполните следующие действия.
На компьютере, на котором размещен ЦС, нажмите кнопку Пуск, введите mmc и нажмите ВВОД.
Если появляется диалоговое окно Контроль учетных записей, убедитесь в том, что в окне отображено нужное действие, затем нажмите кнопку Продолжить.
В меню Файл щелкните Добавить или удалить оснастку, щелкните Сертификаты и Добавить.
Щелкните Учетная запись компьютера, затем щелкните Далее.
Щелкните Готово, а затем OK.
В дереве консоли щелкните Сертификаты (локальный компьютер), затем щелкните Личное.
Подтвердите наличие в хранилище сертификата ЦС, срок действия которого не истек.
Щелкните сертификат правой кнопкой мыши и выберите Экспортировать, чтобы запустить мастер экспорта сертификатов.
Экспортируйте сертификат в файл с именем Cert.cer.
Введите Пуск, cmd и нажмите клавишу ВВОД.
Введите certutil -urlfetch -verify <cert.cer> и нажмите ВВОД.
Если отчеты об ошибках проверки, построения цепочки и проверки отзыва отсутствуют, цепочка действительна.
Target | Microsoft.Windows.CertificateServices.CARole.6.2 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 48 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.2.CertSvcEvents.48" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.2" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">48</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDd13dac2d6ac94865acec24b7e96ddef5"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>