Certifikační autorita (CA) vydává certifikáty.
A v pravidelných intervalech CA vydává také seznam zneplatněných certifikátů. V něm jsou zapsány informace o certifikátech, které jejich vlastníci prohlásili za neplatné (nechali je zneplatnit).
K tomu dochází např. tehdy, když je zcizen soukromý klíč vlastníka nebo skončí podmínky pro používání certifikátu.
Ve firemním prostředí se to nejčastěji stává při ukončení pracovního poměru (ukončení spolupráce) se zaměstnancem (nebo s externím pracovníkem, brigádníkem, ...) .
Default nastavení pro publikaci CRL certifikátů v AD CS MW Windows Server 2019
je nastaveno na:
- CRL publication Interval: 1 Weeks
- Delta CRLs: 1 Days
Publikaci lze také provést ručně:
- v grafickém prostředí přejdeme na název CA
- přejdeme na Revoked Certifikates
- v MENU zvolíme ALL TASKS
- následně PUBLISH
- a následně NEW CRL nebo DELTA CRL ONLY
Při ruční publikaci NEW CRL můžeme obdržet tyto následující chyby:
- Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND)
- V Event logu (Servers Roles - Active Directory Certification Services) Event ID: 66 + 74 + 75 (podrobněji viz níže)
Při ruční publikaci DELTA CRL ONLY můžeme obdržet tyto následující chyby:
- Operation aborted 0x80004004 (-2147467260 E_ABORT)
- V Event logu (Servers Roles - Active Directory Certification Services) Event ID: 66 +74 + 75 (podrobněji viz níže)
Event ID: 75
Active Directory Certificate Services could not publish a Delta CRL for key 1 to the following location on server adcs.firma.cz: ldap:///CN=CA(2),CN=CA19,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=domena,DC=cz.
Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND).
ldap: 0x20: LDAP_NO_SUCH_OBJECT: 0000208D: NameErr: DSID-03100241, problem 2001 (NO_OBJECT), data 0, best match of: 'CN=CA,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=domena,DC=cz'
Event ID: 74
Active Directory Certificate Services could not publish a Base CRL for key 1 to the following location on server adcs.firma.cz: ldap:///CN=CA(2),CN=CA19,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=firma,DC=cz.
Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND).
ldap: 0x20: LDAP_NO_SUCH_OBJECT: 0000208D: NameErr: DSID-03100241, problem 2001 (NO_OBJECT), data 0, best match of: 'CN=CA,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=firma,DC=cz'
Event ID: 66
Active Directory Certificate Services could not publish a Delta CRL for key 1 to the following location: ldap:///CN=CA(2),CN=CA19,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=firma,DC=cz.
Operation aborted 0x80004004 (-2147467260 E_ABORT).
Tato chyba je poměrně nepříjemná.
Některé další navazující systémy si kontrolují seznam zneplatněných certifikátů. A pokud ho neobdrží, tak mohou odepřít uživateli přístup (v mém případě bylo nefunkční přihlášení do firemní WiFi sítě ... pro ověřování se používá osobní certifikát uživatele).
Nad řešením jsem strávil několik bezesných nocí a spousty pracovních dnů.