Certifikační služba nemohla publikovat seznam odvolaných certifikátů (CRL).
Poskytnutí informací, které klienti potřebují k určení důvěryhodnosti certifikátu, je jednou z nejdůležitějších bezpečnostních funkcí certifikační autority (CA) a infrastruktury veřejných klíčů (PKI). Pro správce to znamená rychlé odvolání nedůvěryhodných certifikátů, které nedosáhly svého plánovaného data vypršení platnosti, a publikování této informace do seznamů odvolaných certifikátů (CRL). Sledování a řešení problémů s publikováním a dostupností seznamů odvolaných certifikátů je závažným aspektem zabezpečení infrastruktury veřejných klíčů.
Povolte službě AD CS publikovat seznam odvolaných certifikátů
Mezi možná řešení této zprávy protokolu událostí patří:
Pokud zpráva protokolu událostí uvádí umístění služby Active Directory, které bylo naformátováno jako adresa protokolu LDAP (Lightweight Directory Access Protocol), zkontrolujte, zda má certifikační autorita (CA) oprávnění k zápisu do tohoto umístění. Za tímto účelem proveďte postup uvedený v části "Kontrola oprávnění distribučního místa seznamu CRL služby Active Directory".
Zkontrolujte seznam řízení přístupu pro jakákoli umístění souborů uvedená ve zprávě protokolu událostí a ověřte, zda má počítač certifikační autority oprávnění k zápisu do těchto umístění. Za tímto účelem proveďte postup uvedený v části "Kontrola oprávnění distribučního místa seznamu CRL".
Pomocí postupu uvedeného v části "Kontrola připojení k síti" zkontrolujte síťové připojení mezi certifikační autoritou a řadičem domény.
Po odstranění případných problémů se sítí nebo oprávněními pomocí postupu uvedeného v části "Publikování nového seznamu odvolaných certifikátů (CRL)" publikujte nový seznam CRL.
Pokud nemůžete publikovat nový seznam CRL, zkontrolujte platnost distribučních míst seznamu odvolaných certifikátů pomocí postupu popsaného v části "Kontrola nakonfigurovaných distribučních míst seznamu odvolaných certifikátů".
Abyste mohli provést tyto postupy, musíte mít oprávnění pro správu certifikační autority, nebo musíte mít přiděleno příslušné oprávnění.
Kontrola oprávnění distribučního místa seznamu CRL služby Active Directory
Postup kontroly oprávnění distribučního místa seznamu CRL služby Active Directory:
Na počítači, kde jsou nainstalovány nástroje pro správu služby Active Directory, klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Lokality a služby Active Directory.
V nabídce Zobrazení klikněte na Zobrazit uzel služeb.
Dvakrát klikněte na Služby a dvakrát klikněte na Služby veřejného klíče.
Klikněte pravým tlačítkem na Přístup k informacím úřadu (AIA) a klikněte na Vlastnosti.
Klikněte na kartu Zabezpečení a zkontrolujte, zda má certifikační autorita oprávnění k zápisu do tohoto umístění.
Kontrola oprávnění pro umístění souboru distribučního místa seznamu CRL
Postup kontroly oprávnění pro umístění souboru distribučního místa seznamu CRL:
Klikněte na tlačítko Start, zadejte adresu sdílené složky, kterou používáte k publikování seznamů odvolaných certifikátů, a stiskněte klávesu ENTER.
Klikněte pravým tlačítkem sdílenou složku a klikněte na Vlastnosti.
Klikněte na kartu Zabezpečení a zkontrolujte, zda má certifikační autorita oprávnění k zápisu do tohoto umístění.
Zkontrolujte připojení k síti.
Postup zjištění problému připojení k síti mezi certifikační autoritou a řadičem domény:
Otevřete okno příkazového řádku na počítači hostujícím certifikační autoritu.
Zadejte ping <server_FQDN>, kde server_FQDN je plně kvalifikovaný název řadiče domény (FQDN) a stiskněte klávesu ENTER. Pokud se lze připojit k řadiči domény, obdržíte odpověď podobnou následujícím:
Odpověď od IP_adresa: bajty=32 čas=3ms TTL=59
Odpověď od IP_adresa: bajty=32 čas=20ms TTL=59
Odpověď od IP_adresa: bajty=32 čas=3ms TTL=59
Odpověď od IP_adresa: bajty=32 čas=6ms TTL=59 3.
Na příkazovém řádku zadejte příkaz ping <IP_address>, kde <IP_address> je IP adresa řadiče domény, a poté stiskněte klávesu ENTER.
Pokud se vám podaří úspěšně připojit k řadiči domény prostřednictvím IP adresy, ale nikoli pomocí plně kvalifikovaného názvu domény, poukazuje to na možný problém s překladem názvu hostitele DNS (Domain Name System).
Pokud se vám nedaří úspěšně připojit k řadiči domény prostřednictvím IP adresy, poukazuje to na možný problém s připojením k síti. Zkontrolujte a vyřešte případné problémy s hardwarem, jako je například porucha síťové karty nebo odpojený síťový kabel, a jakékoli chyby uvedené v protokolu událostí související s konfigurací brány firewall a konfigurací protokolu IPSec (Internet Protocol security).
Publikujte nový seznam odvolaných certifikátů
Postup publikování seznamu odvolaných certifikátů pomocí modulu snap-in Certifikační autorita:
Klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Certifikační autorita.
Klikněte pravým tlačítkem na Odvolané certifikáty, přesuňte ukazatel na Všechny úlohy a poté kliknutím na Publikovat publikujte nový seznam odvolaných certifikátů.
Postup publikování nového seznamu odvolaných certifikátů pomocí nástroje pro příkazový řádek Certutil:
Otevřete okno příkazového řádku.
Chcete-li publikovat seznamy odvolaných certifikátů do všech nakonfigurovaných umístění pro publikování seznamů CRL, zadejte příkaz certutil -CRL a stiskněte klávesu ENTER.
Chcete-li publikovat CRL přímo v umístění služby Active Directory, zadejte certutil -dspublish "<crlname.crl>" ldap:///CN=<CA name>,CN=<CA hostname>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint a stiskněte klávesu ENTER.
Nahraďte crlname.crl názvem svého souboru CRL, název certifikační autority a název hostitele certifikační autority názvem své certifikační autority resp. názvem hostitele, na kterém běží certifikační autorita, a contoso a com nahraďte oborem názvů své domény služby Active Directory Domain Services.
Zkontrolujte platnost nakonfigurovaných distribučních míst seznamu odvolaných certifikátů
Postup kontroly platnosti nakonfigurovaných distribučních míst seznamu odvolaných certifikátů:
Klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Certifikační autorita.
Klikněte pravým tlačítkem na název certifikační autority a klikněte na Vlastnosti.
Klikněte na kartu Rozšíření. Zaznamenejte si umístění distribučních míst seznamu odvolaných certifikátů, u kterých je zaškrtnuto zaškrtávací políčko Publikovat seznamy CRL do tohoto umístění.
Adresy URL nakonfigurovaných distribučních míst seznamu odvolaných certifikátů lze rovněž určit otevřením okna příkazového řádku a provedením následujícího příkazu: certutil -getreg ca\crlpublicationurls.
Chcete-li zkontrolovat správnou funkci publikování seznamu odvolaných certifikátů (CRL), proveďte na nedávno vystaveném certifikátu koncové entity (uživatel nebo počítač) následující postup:
Otevřete okno příkazového řádku na počítači připojeném k síti.
Zadejte text certutil -url <cert.cer> a stiskněte klávesu ENTER.
Nahraďte hodnotu <cert.cer> názvem souboru certifikátu, který jste vytvořili při exportu certifikátu pomocí Průvodce exportem certifikátu.
V otevřeném dialogovém okně v oblasti Načíst, klikněte na Seznamy CRL (z objektu CDP) a klikněte na Načíst.
Zkontrolujte, zda je u všech načtených distribučních míst seznamu odvolaných certifikátů uveden stav Ověřeno.
Target | Microsoft.Windows.CertificateServices.CARole.6.3 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 66 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.3.CertSvcEvents.66" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.3" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">66</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID6c8002bc89f54663ab6d88ca6fbd2570"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>