最新下载
热门教程
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
解决windows2012因吊销服务器脱机造成的证书服务启动失败
时间:2015-10-04 编辑:简简单单 来源:一聚教程网
例行域控制器检查时发现一则ID48的警告日志,来源为CertificationAuthority。警告如下:
代码如下 | 复制代码 |
日志名称: Application
来源: Microsoft-Windows-CertificationAuthority 日期: 2015/3/20 9:44:56 事件 ID: 48 任务类别: 无 级别: 警告 关键字: 用户: SYSTEM 计算机: MDC.XXXXXX.cn 描述: 无法验证 XXXXXX-MDC-CA 的 CA 证书 0 的证书链中的证书吊销状态,因为服务器当前不可用。由于吊销服务器已脱机,吊销功能无法检查吊销。 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)。 |
打开“证书服务器”控制台,发现证书服务器已经启动,停止后在启动提示如下。在日志查看起立找到ID48的警告和ID100的错误。都和“由于吊销服务器已脱机,吊销功能无法检查吊销。”有关。XXXXXX是我把敏感信息替换了。
代码如下 | 复制代码 |
日志名称: Application
来源: Microsoft-Windows-CertificationAuthority 日期: 2015/3/20 14:50:15 事件 ID: 48 任务类别: 无 级别: 警告 关键字: 用户: SYSTEM 计算机: MDC.XXXXXX.cn 描述: 无法验证 XXXXXX-MDC-CA 的 CA 证书 0 的证书链中的证书吊销状态,因为服务器当前不可用。由于吊销服务器已脱机,吊销功能无法检查吊销。 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)。 日志名称: Application
来源: Microsoft-Windows-CertificationAuthority 日期: 2015/3/20 14:50:15 事件 ID: 100 任务类别: 无 级别: 错误 关键字: 用户: SYSTEM 计算机: MDC.XXXXXX.cn 描述: Active Directory 证书服务未启动: 无法加载或验证当前的 CA 证书。XXXXXX-MDC-CA 由于吊销服务器已脱机,吊销功能无法检查吊销。 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)。 |
状况分析
域控WiN2012R2安装了Hyper-V角色,虚拟出一台Win2012R2独立安装CA证书颁发机构,再在域控WiN2012R2上安装企业从属CA。配置完成后让独立CA离线,从属CA扮演证书颁发机构的角色。
看来是我离线的独立主CA出了问题。只是把独立主CA启动是解决不了问题的。
证书吊销列表CRL发布间隔是一周,一周后CRL吊销列表将会失效。开开“吊销的证书”属性,切换到“查看CRL”标签,在“常规”标签里,找到“下一次更新的时间”,这里表示过了这个时间证书吊销列表就会失效了。
上面配图是我在别的地方截取的,是来例证说明用,和解决本文错误没多大关系。从上图可以看出,过了2015年3月26日 21:54:06这个时间点会进行CRL列表的发布。因为主CA一直离线,证书吊销列表信息过期又找不到上一级的证书吊销链。哼哼,报错吧,主人都不干了我也罢工。这件事很严重的,自然就不给你启动了。
既然理清来龙去脉,那解决办法就好说了。首先来到独立CA证书颁发机构,右键“吊销的证书”找到属性把CRL发布周期更改为1个月。点“吊销的证书——所有任务——发布”。
既然理清来龙去脉,那解决办法就好说了。首先来到独立CA证书颁发机构,右键“吊销的证书”找到属性把CRL发布周期更改为1个月。点“吊销的证书——所有任务——发布”。
关闭证书颁发机构控制台,打开“C:\Windows\System32\certsrv\CertEnroll”找到.CRL扩展名的文件,查看修改日期,正常情况下应该就是你点“发布”的那一刻。这里看修改日期只是为了核实一步。复制.CRL文件到您的CA从属颁发机构,找到默认证存储位置打开“C:\Windows\System32\certsrv\CertEnroll”,直接覆盖。确保万无一失可备份一下CertEnroll文件夹。
来到从属CA的证书颁发机构控制台,启动您的CA证书颁发机构。是不是成功启动了?在日至查看器里可以找到ID25的日志记录
代码如下 | 复制代码 |
日志名称: Application
来源: Microsoft-Windows-CertificationAuthority 日期: 2015/3/20 14:51:35 事件 ID: 26 任务类别: 无 级别: 信息 关键字: 用户: SYSTEM 计算机: MDC.XXXXXX.cn 描述: XXXXXX-MDC-CA 的 Active Directory 证书服务已启动。 DC=MDC.XXXXXX.cn |
网上有一种解决办法,是强制服务器不进行吊销列表的验证。我感觉这事一种坑爹行为。测试环境用用也就罢了,用到生产环境那就不负责任了。
这种主从证书颁发机构的主CA离线从CA扮演颁发机构角色,碰到重大问题再让主CA出面,是有各种好处的。一个周进行一次同步对管理员来说不是什么大事,顺便能检查一下主CA能否正常工作。一个月同步一次适合稍微懒一点的管理员。
相关文章
- 电脑键盘功能基础知识介绍 10-11
- win7关闭3D加速方法 10-11
- win7无法进入睡眠模式 10-11
- win7阻止端口连接方法 10-11
- win7桌面图标消失解决方法 10-11
- windows无法连接到system event notification service解决方法 10-11