Краткое руководство Microsoft PKI. Часть 4. Устранение неполадок

• Краткое руководство Microsoft PKI. Часть 1. Планирование
• Краткое руководство Microsoft PKI. Часть 2. Проектирование
• Краткое руководство Microsoft PKI. Часть 3. Установка

Мы подошли к последней статье из серии кратких руководств Microsoft PKI. В предыдущих статьях мы дали вам краткий обзор того, как подготовить, спланировать и спроектировать вашу Microsoft PKI. Мы также углубились в технические подробности и показали, как установить PKI на основе Microsoft Certificate Services в Windows Server 2003. В этой заключительной статье мы дадим вам краткий обзор того, как поддерживать PKI и устранять неполадки с помощью некоторых базовых, но очень ценные инструменты.

Набор инструментов

Одна из вещей, которая будет иметь большое значение для вас и вашей PKI, — это набор инструментов, содержащий нужные инструменты. Это поможет вам поддерживать стабильную PKI и поможет вам быстро и безболезненно решать проблемы. Однако это непростая задача, так как доступных инструментов не так уж много, поэтому нам просто нужно максимально использовать то, что у нас есть. Вот ваши варианты для вашего набора инструментов Microsoft PKI (в произвольном порядке):

• Службы сертификации (certsrv.msc) — эта MMC содержит основные функции, необходимые для настройки и обслуживания PKI.
• Шаблоны сертификатов (certtmpl.msc) — эта MMC используется для обслуживания и защиты шаблонов сертификатов.
• Диспетчер сертификатов (certmgr.msc) — эта MMC используется для управления сертификатами, установленными на компьютере или текущем пользователе.
• Certutil.exe — утилита сертификатов на основе командной строки, которая выполняет те же функции, что и MMC служб сертификации, а также многое другое.
• Средство просмотра событий (Eventvwr.msc) — MMC средства просмотра событий не является опечаткой. Этот инструмент очень важен при устранении неполадок в вашей PKI, как вы скоро узнаете.
• Корпоративные инструменты PKI (PKIview.msc) — инструмент для проверки работоспособности PKI на основе MMC, который должен стать вашим новым лучшим другом.
• Capimon.exe — позволяет администратору отслеживать вызовы CryptoAPI приложения безопасности и их результаты.

Все эти инструменты способствуют правильному функционированию PKI, но они также могут предоставить очень важную информацию, которая поможет вам устранить неполадки в вашей PKI. И лучший способ устранить неполадки в вашей PKI — это использовать структурированный процесс. Вот один подход:

1. Всегда начинайте устранение неполадок с проверки журналов событий. Это может показаться очевидным, но почти все ошибки, связанные с PKI, будут регистрироваться в журналах событий. Несмотря на то, что вы можете отображать сообщения об ошибках из различных программ, таких как MMC служб сертификации, журнал событий, безусловно, является самым простым способом чтения и устранения ошибок, связанных с PKI.
2. Используйте инструменты PKIview.msc, чтобы получить краткий обзор состояния вашей PKI. PKIview.msc обычно выявляет некоторые из наиболее распространенных ошибок, включая отсутствующий или устаревший CRL или сертификат ЦС с истекшим сроком действия. Если с этим инструментом все в порядке, вы можете двигаться дальше и сосредоточиться на конкретных вопросах, связанных с сертификатами, таких как параметры безопасности в шаблонах сертификатов и т. д.
3. Если ошибка по-прежнему не очевидна или ее трудно устранить на предыдущих шагах, обратитесь за помощью к нашему списку ресурсов в конце этой статьи или найдите решения на сайте support.microsoft.com, в группах новостей или на форумах.

Еще одна вещь, которая может оказаться очень полезной, — это контрольный список, которому нужно следовать после установки и во время обслуживания. Вот один пример для начала:

• Какова доступность вашей PKI и ваших корневых сертификатов?
• Доступен ли список отзыва сертификатов?
• Правильно ли работают выданные сертификаты?
• Правильно ли работают компоненты или приложения инфраструктуры, использующие сертификаты вашей PKI?
• Какова производительность в системах, использующих сертификаты из вашей PKI?
• Есть ли сообщения об ошибках, связанных с сертификатами, установленными на компьютере?

Давайте продолжим и кратко рассмотрим несколько утилит из нашего набора инструментов и то, как они действительно могут облегчить жизнь в отношении вашей PKI.

Оснастка MMC для служб сертификации и шаблонов сертификатов

Оснастка MMC служб сертификации (certsrv.msc) является вашей основной административной консолью PKI. Вы должны попытаться провести некоторое время с этой оснасткой MMC и ознакомиться с этим инструментом, так как он дает вам более глубокое представление о мире PKI на основе Microsoft. С помощью этой оснастки вы лучше поймете, что означают шаблоны сертификатов AIA, CDP, V2 и т. д., и как они связаны с некоторыми областями, которые мы рассмотрели в предыдущих статьях по PKI. Встроенная справка также имеет большое значение и даже содержит небольшой раздел с рекомендациями (как и многие другие встроенные файлы справки Windows Server 2003). Большинство проблем с PKI на основе Microsoft обычно связаны с проблемами разрешений при выдаче сертификата или доступностью CRL. Итак, давайте рассмотрим пару примеров, когда этот инструмент может оказаться очень полезным при устранении неполадок в вашей PKI.

Одна из наиболее распространенных ошибок, которые вы можете увидеть в отношении PKI, — это устаревший или недоступный CRL. Быстрый способ — опубликовать CRL из MMC служб сертификации, но это также можно сделать из командной строки, как вы скоро узнаете.

Рисунок 1: Публикация CRL

Вы должны иметь привычку время от времени проверять, был ли выдан сертификат, проверяя подменю «Неудачные запросы» на левой панели консоли MMC. В этом меню вы сможете выяснить, почему произошла ошибка, связанная с неудачной попыткой выдать сертификат. Часто эту ошибку будет трудно прочитать из раздела «Неудачный запрос». Хорошая часть заключается в том, что та же ошибка будет добавлена в журнал приложений. А поскольку проще скопировать запись журнала событий из средства просмотра событий, чем из MMC служб сертификации, этот метод должен быть предпочтительным для проверки любых ошибок, связанных с PKI, если, конечно, вы не используете какое-либо делегированное администрирование и не настраиваете свои MMC.

Еще одна распространенная ошибка — неверные настройки безопасности в шаблонах сертификатов. Вы можете изменить безопасность шаблонов сертификатов из MMC служб сертификации, щелкнув правой кнопкой мыши Шаблоны сертификатов и выбрав Управление или запустив новую MMC, куда вы добавите оснастку «Шаблоны сертификатов» (certtmpl.msc). В любом случае, в MMC «Шаблоны сертификатов» вы выбираете свойства шаблона сертификата, который хотите использовать. Затем щелкните вкладку «Безопасность» и убедитесь, что правильной группе безопасности разрешено получать сертификат, включив разрешения «Чтение» и «Зачисление» для этой группы.

Фигура 2:
Проверьте правильность настроек безопасности шаблона сертификата.

PKIview.msc

PKIview.msc — один из самых полезных инструментов для устранения неполадок в вашей Microsoft PKI, доступный в Windows Server 2003 Resource Kit. С помощью этого инструмента вы можете проверить состояние вашей PKI. Когда вы запустите графический инструмент, вы увидите различные индикаторы, которые дадут вам обновленное состояние работоспособности вашей PKI. Зеленая галочка означает, что с вашей PKI все в порядке. Однако желтый предупреждающий знак указывает на то, что срок действия сертификата или списка отзыва сертификатов (CRL) близок к истечению. Если вы видите красные ошибки, это обычно указывает на то, что местоположения CRL или доступа к авторитетной информации (AIA) недоступны. Красные ошибки также могут указывать на то, что ЦС не является доверенным. Если это так, щелкните правой кнопкой мыши ошибку и нажмите «Копировать URL». Вставьте URL-адрес в веб-браузер, если это местоположение HTTP, которое не может быть достигнуто, или используйте такой инструмент, как adsiedit.msc из инструментов поддержки Windows, чтобы проверить, действительно ли опубликованное местоположение CDP содержит список отзыва или доверия по ошибке.

Этот инструмент способен на гораздо большее, и вам следует запускать его как минимум раз в неделю, чтобы обеспечить работоспособность вашей PKI. Подробности в ошибках быстро укажут, где именно ошибка, однако не дадут вам точного решения. Здесь вам все еще нужно выполнить некоторую детективную работу, используя некоторые другие инструменты, упомянутые в списке инструментов ранее в этой статье, или Google для события, показанного в PKIview.msc.

Рисунок 3:
PKIview.msc — отличный инструмент для устранения неполадок.

Certutil.exe

Мастером всех инструментов Microsoft PKI, без сомнения, является Certutil.exe. Эта мощная утилита командной строки заменяет инструмент набора ресурсов из Windows 2000 под названием Dsstore.exe. Использование Certutil.exe дает несколько преимуществ. Прежде всего, он легко обрабатывается сценариями и способен на гораздо большее, как в отношении настройки, документирования, так и устранения неполадок, по сравнению со всеми другими инструментами в нашем наборе инструментов PKI. Еще одно преимущество, о котором не так часто упоминают, заключается в том, что он может запускать многие функции сбора данных как обычный пользователь. На самом деле это отличная функция для устранения неполадок с сертификатами без ущерба для безопасности вашей PKI. Причина, по которой устранение неполадок вашей PKI с помощью Certutil.exe не поставит под угрозу безопасность вашей PKI, заключается в том, что многие основные параметры конфигурации недоступны, если у вас нет необходимых разрешений.

Еще одним преимуществом Certutil.exe является встроенная функция управления изменениями (вроде). Многие настройки служб сертификации хранятся в реестре Windows в:

«Мой компьютерHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCertSvc»

Всякий раз, когда вы вносите изменения в PKI с помощью параметра « certutil -setreg », утилита сначала отобразит старую настройку, а затем новую настройку.

Мы не будем рассматривать все различные функции и параметры Certutil.exe, так как их слишком много. Однако введите «Certutil -?» чтобы получить полное представление. Небольшой намек на то, что версия Certutil.exe для Windows Server 2003 может быть перенесена в Windows Vista, Windows XP и Windows 2000. Все, что вам нужно сделать, это скопировать Certutil.exe, Certcli.dll и Certadm.dll в расположение на ваш компьютер с Windows Vista, XP или Windows 2000. Нет необходимости регистрировать какой-либо файл DLL и т. д. Просто запустите утилиту командной строки из этого места.

Вывод

Это может показаться очевидным, и во многом так оно и есть, но с помощью структурированного процесса устранения неполадок вы сможете быстро найти и определить, где именно ваша инфраструктура открытого ключа ведет себя неправильно. Мы попытались дать вам краткий обзор и обобщить инструменты и утилиты, которые у вас есть, и мы задокументировали несколько примеров того, как вы можете использовать некоторые из инструментов. Но есть много других доступных вариантов, в зависимости от того, как вы смешиваете и сочетаете инструменты. Образцы, показанные в этой статье, являются предложениями, которые просто служат источником вдохновения. В приведенном ниже списке внешних ресурсов вы найдете ссылки на ценные технические документы, которые охватывают гораздо больше вариантов устранения неполадок. Со всеми ресурсами, упомянутыми в этой статье, вы сможете поддерживать работоспособность PKI.

Внешние ресурсы

Эта серия статей написана с помощью множества замечательных ресурсов. Все отличные статьи Microsoft PKI собраны в одном месте, которое вы можете найти на веб-портале Microsoft PKI.
http://www.microsoft.com/pki

Хотите увидеть, как Microsoft использует PKI, посмотрите презентацию IT — Развертывание PKI внутри Microsoft.
http://www.microsoft.com/technet/itsolutions/msit/security/deppkiin.mspx

И это отличная книга — Microsoft Windows Server 2003 PKI и безопасность сертификатов.
http://www.microsoft.com/mspress/books/6745.asp

• Краткое руководство Microsoft PKI. Часть 1. Планирование
• Краткое руководство Microsoft PKI. Часть 2. Проектирование
• Краткое руководство Microsoft PKI. Часть 3. Установка