Os Serviços de Certificados não conseguiram publicar uma lista de revogação de certificados (CRL).
Fornecer aos clientes as informações de que estes necessitam para determinar se podem ou não confiar num certificado é uma das funções de segurança mais importantes de uma autoridade de certificação (AC) e da infraestrutura de chaves públicas (PKI). Para o administrador, isto significa revogar imediatamente certificados não fidedignos que não atingiram as datas de validade agendadas e a publicação destas informações nas listas de revogação de certificados (CRLs). A monitorização e resolução de problemas com a publicação e disponibilidade de CRLs é um dos aspetos fundamentais da segurança de PKI.
Ativar os AD CS para publicar uma lista de revogação de certificados
As possíveis resoluções para esta mensagem do registo de eventos incluem:
Se a mensagem do registo de eventos especificar uma localização do Active Directory que foi formatada como um endereço de protocolo LDAP (Lightweight Directory Access Protocol), confirme se a autoridade de certificação (AC) tem permissões de Escrita para esta localização. Para fazer isto, siga o procedimento na secção "Confirmar permissões dos pontos de distribuição de CRL do Active Directory".
Verifique a lista de controlo de acesso nas localizações de ficheiros referenciadas na mensagem do registo de eventos para confirmar se o computador da AC tem permissões de Escrita para essas localizações. Para fazer isto, siga o procedimento na secção "Confirmar permissões dos pontos de distribuição de CRL".
Siga o procedimento na secção "Verificar a conectividade da rede" para verificar a conectividade da rede entre a AC e o controlador de domínio.
Depois de resolver eventuais problemas de rede ou de permissões, utilize o procedimento na secção "Publicar uma CRL nova" para publicar uma CRL nova.
Se continuar a não conseguir publicar uma CRL nova, confirme se o ponto de distribuição de CRL é válido seguindo o procedimento na secção "Confirmar a validade de pontos de distribuição configurados da CRL".
Estes procedimentos exigem que tenha permissão para gerir AC ou que lhe tenha sido delegado o nível de autoridade apropriado.
Confirmar as permissões dos pontos de distribuição de CRL do Active Directory
Para confirmar as permissões dos pontos de distribuição de CRL do Active Directory:
Num computador equipado com as ferramentas de gestão do Active Directory, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Serviços e Locais do Active Directory.
No menu Ver, clique em Mostrar nó "Serviços".
Faça duplo clique em Serviços e duplo clique em Serviços de Chave Pública.
Clique com o botão direito do rato em AIA e clique em Propriedades.
Clique no separador Segurança e confirme se a AC tem permissão de Escrita para esta localização.
Confirmar as permissões dos pontos de distribuição de CRL de localização de ficheiros
Para confirmar as permissões dos pontos de distribuição de CRL de localização de ficheiros:
Clique em Iniciar, escreva o endereço de partilha de ficheiros que está a utilizar para publicar CRLs e prima ENTER.
Clique com o botão direito do rato na partilha de ficheiros e clique em Propriedades.
Clique no separador Segurança e confirme se a AC tem permissão de Escrita para esta localização.
Verificar a conectividade da rede
Para determinar se existe um problema de conectividade de rede entre a AC e o controlador de domínio:
Abra uma janela da linha de comandos no computador que aloja a AC.
Escreva ping <server_FQDN> e prima ENTER, em que servidor_FQDN é o nome de domínio completamente qualificado (FQDN) do controlador de domínio. Se conseguir ligar ao controlador de domínio, receberá uma resposta semelhante ao seguinte:
Resposta de endereço_IP: bytes=32 tempo=3ms TTL=59
Resposta de endereço_IP: bytes=32 tempo=20ms TTL=59
Resposta de endereço_IP: bytes=32 tempo=3ms TTL=59
Resposta de endereço_IP: bytes=32 tempo=6ms TTL=59 3.
Na linha de comandos, escreva ping <IP_address>, em que <IP_address> é o endereço IP do controlador de domínio, e depois prima ENTER.
Se conseguir ligar com êxito ao controlador de domínio através do endereço IP, mas não através do FQDN, isto indica um possível problema na resolução de nomes do anfitrião DNS (Sistema de Nomes de Domínio).
Se não conseguir ligar ao controlador de domínio através do endereço IP, isto indica um possível problema na conectividade de rede. Verifique e resolva eventuais problemas de hardware tais com uma placa de rede avariada ou um cabo de rede desligado, assim como erros do registo de eventos relacionados com a configuração do firewall ou a configuração de segurança do Protocolo Internet (IPsec).
Publicar uma CRL nova
Para publicar uma CRL nova utilizando o snap-in da Autoridade de Certificação:
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Clique com o botão direito do rato em Certificados Revogados, aponte para todas as Tarefas e depois clique em Publicar para publicar a CRL nova.
Para publicar uma CRL nova utilizando a ferramenta de linha de comandos Certutil:
Abra uma janela da linha de comandos.
Para publicar CRLs em todas as localizações de publicação da CRL configurada, escreva certutil -CRL e prima ENTER.
Para publicar uma CRL diretamente numa localização do Active Directory, escreva certutil -dspublish "<crlname.crl>" ldap:///CN=<CA name>,CN=<CA hostname>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint e prima ENTER.
Substitua crlname.crl pelo nome do seu ficheiro CRL, o nome da AC e o nome de anfitrião da AC pelo nome da sua AC e o nome do anfitrião onde essa AC é executada e contoso e com pelo espaço de nomes do seu domínio do Active Directory.
Confirmar a validade de pontos de distribuição configurados da CRL
Para confirmar a validade de pontos de distribuição configurados da CRL:
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Clique com o botão direito do rato no nome da AC e clique em Propriedades.
Clique no separador Extensões. Tome nota das localizações dos pontos de distribuição de CRL para as quais a caixa de verificação Publicar CRLs nesta localização está selecionada.
Pode também determinar os URLs de pontos de distribuição configurados da CRL abrindo uma janela da linha de comandos na AC e executando o comando seguinte: certutil -getreg ca\crlpublicationurls.
Para confirmar se a publicação da lista de revogação de certificados (CRL) está a funcionar corretamente, execute o procedimento indicado a seguir num certificado de entidade final (utilizador ou computador) recém-emitido:
Abra uma janela da linha de comandos num computador que esteja ligado à rede.
Escreva certutil -url <cert.cer> e prima ENTER.
Substitua <cert.cer> pelo nome de um ficheiro de certificado que criou ao exportar um certificado através do Assistente Para Exportar Certificados.
Na caixa de diálogo que aparece, em Obter, clique em CRLs (a partir de CDP) e clique em Obter.
Confirme se o estado de todos os pontos de distribuição da CRL obtida está listado como Verificado.
Target | Microsoft.Windows.CertificateServices.CARole.6.3 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 66 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.3.CertSvcEvents.66" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.3" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">66</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID6c8002bc89f54663ab6d88ca6fbd2570"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>