読者です 読者をやめる 読者になる 読者になる

「Active Directory 証明書サービスはキー xxx の yyyy を次の場所に公開できませんでした」が表示される

Windows イベントログ

Windows Server 2008 R2 で構成しているActive Directoryドメインにて
Active Directory 証明書サービスはキー xxx の yyyy を次の場所に公開できませんでした」
というエラーが発生した場合の、原因と対応のメモ。


なお、確認した環境ではメッセージ中、

  • xxx:キーの数字
  • yyyy:CRLの種類(Base CRL・Delta CRL)

となっていました。


■環境


■イベントログの内容

レベル エラー
ソース Microsoft-Windows-CertificationAuthority
イベントID 66

Active Directory 証明書サービスはキー <値> の Delta CRL を次の場所に公開できませんでした: <場所> 操作は中断されました 0x80004004 (-2147467260).

レベル エラー
ソース Microsoft-Windows-CertificationAuthority
イベントID 65

Active Directory 証明書サービスはキー <値> の Base CRL を次の場所に公開できませんでした: <場所> ディレクトリ名が無効です。 0x8007010b (WIN32/HTTP: 267).


■原因
CRLの配布ポイント端末がなくなっていたため、
配布できずにエラーとなっていた。


■対応

  • CRLの配布先を削除

  不要な配布先を削除します。
  イベントログへの表示を削除したいだけであれば、この作業のみでOKです。
  (PKI的には良くないですが)


  1.「管理ツール」->「証明機関」を開く
  2.エラーとなった証明機関の上で右クリック、「プロパティ」を開く
  3.「拡張機能」タブより、「CRL配布ポイント(CDP)」を選択
  4.なくなっている配布先端末が指定されているエントリを削除し、OKを押す
  5.証明書サービスの再起動を求められるため、再起動

  • CRLの再発行

  CRLにもCRL配布ポイントが含まれているため、
  「ActiveDirectory証明書サービス - エンタープライズPKI」がエラーとなっています。
  (上記のCRL配布先削除でldapは削除されていますが、http分が残っています)


  そのため、「certutil」を利用し、CRLの再発行を行います。
  管理者コマンドプロンプトで以下を入力します。

certutil -CRL

  この後、エンタープライズPKIを再読み込みすると、
  状態が「OK」に変わります。

  • 証明書の失効or再発行

  発行済の証明書へはCRL配布ポイントが訂正されないため、
  証明書の失効or再発行する必要があります。
  今回はCRL配布ポイント削除のため、証明書は失効させます。


  1.ActiveDirectory証明書サービス -> <証明機関> -> 発行した証明書
  2.失効対象の証明書を右クリックし、「すべてのタスク]->「証明書の失効」
  3.証明書の失効の理由コードと日付・時刻を入力




以上にて、作業完了です。


■参考

  今回のエラー内容そのものです。
  その中の「Confirm the validity of configured CRL distribution points」が上記手順です。

  CRLの配布ポイントを追加していますが、
  今回はその逆を行っています。
  スクリーンショット付で詳しいです。

  「Base CRL」「Delta CRL」などの説明があります。

  構文とオプションがまとめられています。