首页 > 技术那瓷碗饭 > 解决因吊销服务器脱机造成的证书服务启动失败

解决因吊销服务器脱机造成的证书服务启动失败

2015年3月20日

例行域控制器检查时发现一则ID48的警告日志,来源为CertificationAuthority。警告如下:

日志名称: Application
来源: Microsoft-Windows-CertificationAuthority
日期: 2015/3/20 9:44:56
事件 ID: 48
任务类别: 无
级别: 警告
关键字:
用户: SYSTEM
计算机: MDC.XXXXXX.cn
描述:
无法验证 XXXXXX-MDC-CA 的 CA 证书 0 的证书链中的证书吊销状态,因为服务器当前不可用。由于吊销服务器已脱机,吊销功能无法检查吊销。 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)。

打开“证书服务器”控制台,发现证书服务器已经启动,停止后在启动提示如下。在日志查看起立找到ID48的警告和ID100的错误。都和“由于吊销服务器已脱机,吊销功能无法检查吊销。”有关。XXXXXX是我把敏感信息替换了。

启动CA出现错误 提示

CA证书服务器启动失败

日志名称: Application
来源: Microsoft-Windows-CertificationAuthority
日期: 2015/3/20 14:50:15
事件 ID: 48
任务类别: 无
级别: 警告
关键字:
用户: SYSTEM
计算机: MDC.XXXXXX.cn
描述:
无法验证 XXXXXX-MDC-CA 的 CA 证书 0 的证书链中的证书吊销状态,因为服务器当前不可用。由于吊销服务器已脱机,吊销功能无法检查吊销。 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)。

日志名称: Application
来源: Microsoft-Windows-CertificationAuthority
日期: 2015/3/20 14:50:15
事件 ID: 100
任务类别: 无
级别: 错误
关键字:
用户: SYSTEM
计算机: MDC.XXXXXX.cn
描述:
Active Directory 证书服务未启动: 无法加载或验证当前的 CA 证书。XXXXXX-MDC-CA 由于吊销服务器已脱机,吊销功能无法检查吊销。 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)。

状况分析

域控WiN2012R2安装了Hyper-V角色,虚拟出一台Win2012R2独立安装CA证书颁发机构,再在域控WiN2012R2上安装企业从属CA。配置完成后让独立CA离线,从属CA扮演证书颁发机构的角色。

看来是我离线的独立主CA出了问题。只是把独立主CA启动是解决不了问题的。

证书吊销列表CRL发布间隔是一周,一周后CRL吊销列表将会失效。开开“吊销的证书”属性,切换到“查看CRL”标签,在“常规”标签里,找到“下一次更新的时间”,这里表示过了这个时间证书吊销列表就会失效了。

查看当前CRL下一次更新时间

查看CRL证书吊销列表

上面配图是我在别的地方截取的,是来例证说明用,和解决本文错误没多大关系。从上图可以看出,过了2015年3月26日 21:54:06这个时间点会进行CRL列表的发布。因为主CA一直离线,证书吊销列表信息过期又找不到上一级的证书吊销链。哼哼,报错吧,主人都不干了我也罢工。这件事很严重的,自然就不给你启动了。
既然理清来龙去脉,那解决办法就好说了。首先来到独立CA证书颁发机构,右键“吊销的证书”找到属性把CRL发布周期更改为1个月。点“吊销的证书——所有任务——发布”。

CRL发布间隔改为一个月

CRL发布间隔改为一个月

重新发布CRL

重新发布CRL

关闭证书颁发机构控制台,打开“C:\Windows\System32\certsrv\CertEnroll”找到.CRL扩展名的文件,查看修改日期,正常情况下应该就是你点“发布”的那一刻。这里看修改日期只是为了核实一步。复制.CRL文件到您的CA从属颁发机构,找到默认证存储位置打开“C:\Windows\System32\certsrv\CertEnroll”,直接覆盖。确保万无一失可备份一下CertEnroll文件夹。

来到从属CA的证书颁发机构控制台,启动您的CA证书颁发机构。是不是成功启动了?在日至查看器里可以找到ID25的日志记录

日志名称: Application
来源: Microsoft-Windows-CertificationAuthority
日期: 2015/3/20 14:51:35
事件 ID: 26
任务类别: 无
级别: 信息
关键字:
用户: SYSTEM
计算机: MDC.XXXXXX.cn
描述:
XXXXXX-MDC-CA 的 Active Directory 证书服务已启动。 DC=MDC.XXXXXX.cn

网上有一种解决办法,是强制服务器不进行吊销列表的验证。我感觉这事一种坑爹行为。测试环境用用也就罢了,用到生产环境那就不负责任了。

这种主从证书颁发机构的主CA离线从CA扮演颁发机构角色,碰到重大问题再让主CA出面,是有各种好处的。一个周进行一次同步对管理员来说不是什么大事,顺便能检查一下主CA能否正常工作。一个月同步一次适合稍微懒一点的管理员。

本文的评论功能被关闭了.
www.tjxy99.com www.yuanfengbLade.com www.518dzw.com