čtvrtek 20. února 2020

CA nemůže publikovat CRL certifikáty - event ID 66,74,75

Certifikační autorita (CA)  vydává certifikáty.
A v pravidelných intervalech CA vydává také seznam zneplatněných certifikátů. V něm jsou zapsány informace o certifikátech, které jejich vlastníci prohlásili za neplatné (nechali je zneplatnit).
K tomu dochází např. tehdy, když je zcizen soukromý klíč vlastníka nebo skončí podmínky pro používání certifikátu.
Ve firemním prostředí se to nejčastěji stává při ukončení pracovního poměru (ukončení spolupráce) se zaměstnancem (nebo s externím pracovníkem, brigádníkem, ...) .

Default nastavení pro publikaci CRL certifikátů v AD CS MW Windows Server 2019
je nastaveno na: 
 • CRL publication Interval: 1 Weeks
 • Delta CRLs: 1 Days

Publikaci lze také provést ručně:
 • v grafickém prostředí přejdeme na název CA
 • přejdeme na Revoked Certifikates
 • v MENU zvolíme ALL TASKS
 • následně PUBLISH
 • a následně NEW CRL nebo DELTA CRL ONLY

Při ruční publikaci NEW CRL můžeme obdržet tyto následující chyby:
 • Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND)
 • V Event logu (Servers Roles - Active Directory Certification Services) Event ID: 66 + 74 + 75 (podrobněji viz níže)
Při ruční publikaci DELTA CRL ONLY můžeme obdržet tyto následující chyby:
 • Operation aborted 0x80004004 (-2147467260 E_ABORT)
 • V Event logu (Servers Roles - Active Directory Certification Services) Event ID: 66 +74 + 75 (podrobněji viz níže)
Event ID: 75
Active Directory Certificate Services could not publish a Delta CRL for key 1 to the following location on server adcs.firma.cz: ldap:///CN=CA(2),CN=CA19,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=domena,DC=cz.  
Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND).
ldap: 0x20: LDAP_NO_SUCH_OBJECT: 0000208D: NameErr: DSID-03100241, problem 2001 (NO_OBJECT), data 0, best match of: 'CN=CA,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=domena,DC=cz'

Event ID: 74
Active Directory Certificate Services could not publish a Base CRL for key 1 to the following location on server adcs.firma.cz: ldap:///CN=CA(2),CN=CA19,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=firma,DC=cz.  
Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND).
ldap: 0x20: LDAP_NO_SUCH_OBJECT: 0000208D: NameErr: DSID-03100241, problem 2001 (NO_OBJECT), data 0, best match of: 'CN=CA,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=firma,DC=cz'

Event ID: 66
Active Directory Certificate Services could not publish a Delta CRL for key 1 to the following location: ldap:///CN=CA(2),CN=CA19,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=firma,DC=cz.  
Operation aborted 0x80004004 (-2147467260 E_ABORT).

Tato chyba je poměrně nepříjemná.
Některé další navazující systémy si kontrolují seznam zneplatněných certifikátů. A pokud ho neobdrží, tak mohou odepřít uživateli přístup (v mém případě bylo nefunkční přihlášení do firemní WiFi sítě ... pro ověřování se používá osobní certifikát uživatele).

Nad řešením jsem strávil několik bezesných nocí a spousty pracovních dnů.


Na doménovém řadiči spustíme ADSIEDIT:
 • V MENU zvolíme ACTION
 • následně vybereme CONNECT TO ...
 • v nabídce Select a well known Naming Context zvolíme Configuration
 • a následně přejdeme CN=Configuration,DC=firma,DC=cz
 • přejdeme do CN=Services
 • přejdeme do CN=Public Key Services
 • přejdeme do CN=CDP
 • přejdeme do CN=CA19 ... (jméno počítače nebo jméno VM s instalovanou CA)
 • a zde vidíme např. CN=CA nebo popřípadně v mém případě: CN=CA(1)
  ... jedná se o název (jméno) Certifikační autority
 • a nyní je potřeba vytvořit chybějící objekt ... v mém případě to je: CA(2) následujícím postupem
 • v MENU zvolíme NEW
 • následně vybereme Object
 • pak vybereme pro položku Select class hodnotu cRLDistributionPoint 
 • klikneme na NEXT
 • do políčka Value: zadáme (v mém případě) chybějící: CA(2)
A v čem se skrýval zakopaný problém?
Po vytvoření je položky je ještě nutno provést následující:
 • přejít do PROPERTIES
 • přejít do záložky SECURITY
 • kliknout na tlačítko ADD
 • na tlačítku OBJECT TYPES zaškrtnout COMPUTERS
 • V políčku ENTER THE OBJECT NAMES TO SELECT zapsat jméno počítače s instalovanou CA ... v mém případě CA19
 • a následně OK
 • a ještě jednou OK
A provedeme restart CA, respektive ideálně počítače (VM) s instalovanou CA.

No a už jen zbývá drobná vysvětlující poznámka:
Při vydání nového certifikátu certifikační autority dochází k číslování.
V mém případě se jednalo o již v pořadí třetí vydaný certifikát certifikační autority, který prodlužuje život CA.
První pro CRL seznam byl označen: CA
Druhý byl označen jako: CA(1)
No a třetí je označen jako: CA(2)

Žádné komentáře:

Okomentovat