Certificate Services kan geen certificaatintrekkingslijst (CRL) publiceren.
Het aan clients verstrekken van informatie die ze nodig hebben om te bepalen of ze een certificaat kunnen vertrouwen is een van de belangrijkste beveiligingsfuncties van een certificeringsinstantie (CA) en een openbare-sleutelinfrastructuur (PKI). Voor de beheerder houdt dit in dat niet-vertrouwde certificaten die nog niet de geplande vervaldatum hebben bereikt, onmiddellijk moeten worden ingetrokken en dat deze informatie in CRL's (certificaatintrekkingslijsten) moet worden gepubliceerd. Het controleren en oplossen van problemen met de publicatie van CRL's en de beschikbaarheid is een essentieel aspect van PKI-beveiliging.
AD CS toestaan om een certificaatintrekkingslijst te publiceren
Dit probleem in het gebeurtenislogboekbericht kan mogelijk op een van de volgende manieren worden opgelost:
Als in het gebeurtenislogboekbericht een Active Directory-locatie wordt aangegeven die is geformatteerd als een LDAP-adres (Lightweight Directory Access Protocol), controleert u of de certificeringsinstantie (CA) schrijfmachtigingen voor deze locatie heeft. Volg hiertoe de procedure in het gedeelte 'De machtigingen voor CRL-distributiepunten van Active Directory controleren'.
Bekijk de toegangsbeheerlijst voor elke bestandslocatie waarnaar in het gebeurtenislogboekbericht wordt verwezen om te controleren of de CA-computer leesmachtigingen heeft voor die locaties. Volg hiertoe de procedure in het gedeelte 'De machtigingen voor CRL-distributiepunten van Active Directory controleren'.
Volg de procedure in het gedeelte 'De netwerkverbinding controleren' om de netwerkverbinding tussen de CA en de domeincontroller te controleren.
Nadat de problemen met de netwerkverbinding of de machtigingen zijn opgelost, gebruikt u de procedure in het gedeelte 'Een nieuwe CRL publiceren' om een nieuwe CRL te publiceren.
Als u nog steeds geen nieuwe CRL kunt publiceren, controleert u of het CRL-distributiepunt geldig is door de procedure in het gedeelte 'De geldigheid van geconfigureerde CRL-distributiepunten controleren'.
U moet de machtiging CA beheren hebben of aan u moet de juiste bevoegdheid zijn gedelegeerd om deze procedures te kunnen uitvoeren.
De machtigingen van het CRL-distributiepunt van Active Directory controleren
Controleer als volgt de machtigingen van het CRL-distributiepunt van Active Directory
Klik op een computer waarop hulpprogramma's voor het beheer van Active Directory zijn geïnstalleerd, op Start, wijs Systeembeheer aan en klik op Active Directory: sites en services.
Klik in het menu Beeld op Knooppunt met services weergeven.
Dubbelklik op Services en dubbelklik op Public Key Services.
Klik met de rechtermuisknop op AIA en klik op Eigenschappen.
Klik op het tabblad beveiliging en controleer of de CA schrijfmachtigingen voor deze locatie heeft.
De bestandslocatie van de machtigingen voor het CRL-distributiepunt controleren
Ga als volgt te werk om de bestandslocatie van de machtigingen voor het CRL-distributiepunt te controleren:
Klik op Start, typ het bestandsshare-adres dat u gebruikt om CRL's te publiceren en druk op ENTER.
Klik met de rechtermuisknop op de bestandsshare en klik op Eigenschappen.
Klik op het tabblad beveiliging en controleer of de CA schrijfmachtigingen voor deze locatie heeft.
De netwerkverbinding controleren
Ga als volgt te werk om na te gaan of er een probleem is met de netwerkverbinding tussen de CA en de domeincontroller:
Open een opdrachtpromptvenster op de computer die als host van de CA optreedt.
Typ ping <server_FQDN> en druk op ENTER, waarbij server_FQDN de volledige gekwalificeerde domeinnaam (FQDN) van de domeincontroller is. Als u verbinding met de domeincontroller kunt maken, ontvangt u een antwoord dat vergelijkbaar is met de volgende antwoorden:
Antwoord van IP_adres: bytes=32 time=3ms TTL=59
Antwoord van IP_adres: bytes=32 time=20ms TTL=59
Antwoord van IP_adres: bytes=32 time=3ms TTL=59
Antwoord van IP_adres: bytes=32 time=6ms TTL=59 3
Typ in de opdrachtregel ping <IP_address>, waarbij <IP_address> het IP-adres van de domeincontroller is, en druk dan op ENTER.
Als u wel verbinding met de domeincontroller kunt maken via het IP-adres, maar niet via FQDN, geeft dit aan dat er mogelijk een probleem is met de DNS-hostnaamomzetting (Domain Name System).
Als u geen verbinding met de domeincontroller kunt maken via het IP-adres, geeft dit aan dat er mogelijk een probleem is met de netwerkverbinding. Controleer of er hardwareproblemen zijn, zoals een niet goed functionerende netwerkkaart of een niet goed aangesloten netwerkkabel. Controleer ook de gebeurtenislogboekfouten met betrekking tot de firewallconfiguratie en de IPsec-configuratie (Internet Protocol security).
Een nieuwe CRL publiceren
Ga als volgt te werk om een nieuwe CRL te publiceren met de module Certificeringsinstantie:
Klik op Start, wijs Systeembeheer aan en klik op Certificeringsinstantie.
Klik met de rechtermuisknop op Ingetrokken certificaten, wijs Alle taken aan en klik vervolgens op Publiceren om de nieuw CRL te publiceren.
Ga als volgt te werk om een nieuwe CRL te publiceren met het opdrachtregelhulpprogramma Certutil:
Open een opdrachtpromptvenster.
Typ certutil -CRL en druk op ENTER om CRL's naar alle geconfigureerde locaties voor de publicatie van CRL's te publiceren.
Typ certutil -dspublish "<crlname.crl>" ldap:///CN=<CA name>,CN=<CA hostname>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint en druk op ENTER om een CRL direct op een Active Directory-locatie te publiceren.
Vervang crlname.crl door de naam van uw CRL-bestand, de CA-naam en de CA-hostnaam door uw CA-naam en de naam van de host waarop die CA wordt uitgevoerd en contoso en com door de naamruimte van uw Active Directory-domein.
De geldigheid van geconfigureerde CRL-distributiepunten controleren
ga als volgt te werk om de geldigheid van geconfigureerde CRL-distributiepunten te controleren:
Klik op Start, wijs Systeembeheer aan en klik op Certificeringsinstantie.
Klik met de rechtermuisknop op de naam van de CA en klik op Eigenschappen.
Klik op het tabblad Extensies. Bekijk de locaties van de CRL-distributiepunten waarvoor het selectievakje CRL's op deze locatie publiceren is geselecteerd.
U kunt ook de geconfigureerde URL's van de CRL-distributiepunten controleren door een opdrachtpromptvenster te openen in de CA en de volgende opdracht uit te voeren: certutil -getreg ca\crlpublicationurls.
Voer de volgende procedure uit op een onlangs verleende eindentiteitcertificaat (gebruiker of computer) om te controleren of het publiceren van de certificaatintrekkingslijst (CRL) goed werkt:
Open een opdrachtpromptvenster op een computer die verbonden is met het netwerk.
Typ certutil -url <cert.cer> en druk op ENTER.
Vervang <cert.cer> door de naam van een certificaatbestand dat u hebt gemaakt door een certificaat te exporteren met de wizard Certificaat exporteren.
Klik in het dialoogvenster onder Ophalen op CRL's (van CDP) en klik op Ophalen.
Controleer of alle opgehaalde CRL-distributiepunten de status Gecontroleerd hebben.
Target | Microsoft.Windows.CertificateServices.CARole.6.3 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 66 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.3.CertSvcEvents.66" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.3" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">66</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID6c8002bc89f54663ab6d88ca6fbd2570"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>