Windows Server 2008 R2 で構成しているActive Directoryドメインにて
「Active Directory 証明書サービスはキー xxx の yyyy を次の場所に公開できませんでした」
というエラーが発生した場合の、原因と対応のメモ。
なお、確認した環境ではメッセージ中、
- xxx:キーの数字
- yyyy:CRLの種類(Base CRL・Delta CRL)
となっていました。
■環境
- ドメインコントローラー:Windows Server 2008 R2
- 役割:Active Directory 証明書サービスを導入済
■イベントログの内容
| レベル | エラー |
| ソース | Microsoft-Windows-CertificationAuthority |
| イベントID | 66 |
Active Directory 証明書サービスはキー <値> の Delta CRL を次の場所に公開できませんでした: <場所> 操作は中断されました 0x80004004 (-2147467260).
| レベル | エラー |
| ソース | Microsoft-Windows-CertificationAuthority |
| イベントID | 65 |
Active Directory 証明書サービスはキー <値> の Base CRL を次の場所に公開できませんでした: <場所> ディレクトリ名が無効です。 0x8007010b (WIN32/HTTP: 267).
■原因
CRLの配布ポイント端末がなくなっていたため、
配布できずにエラーとなっていた。
■対応
- CRLの配布先を削除
不要な配布先を削除します。
イベントログへの表示を削除したいだけであれば、この作業のみでOKです。
(PKI的には良くないですが)
1.「管理ツール」->「証明機関」を開く
2.エラーとなった証明機関の上で右クリック、「プロパティ」を開く
3.「拡張機能」タブより、「CRL配布ポイント(CDP)」を選択
4.なくなっている配布先端末が指定されているエントリを削除し、OKを押す
5.証明書サービスの再起動を求められるため、再起動
- CRLの再発行
CRLにもCRL配布ポイントが含まれているため、
「ActiveDirectory証明書サービス - エンタープライズPKI」がエラーとなっています。
(上記のCRL配布先削除でldapは削除されていますが、http分が残っています)
そのため、「certutil」を利用し、CRLの再発行を行います。
管理者コマンドプロンプトで以下を入力します。
certutil -CRL
この後、エンタープライズPKIを再読み込みすると、
状態が「OK」に変わります。
- 証明書の失効or再発行
発行済の証明書へはCRL配布ポイントが訂正されないため、
証明書の失効or再発行する必要があります。
今回はCRL配布ポイント削除のため、証明書は失効させます。
1.ActiveDirectory証明書サービス -> <証明機関> -> 発行した証明書
2.失効対象の証明書を右クリックし、「すべてのタスク]->「証明書の失効」
3.証明書の失効の理由コードと日付・時刻を入力
以上にて、作業完了です。
■参考
今回のエラー内容そのものです。
その中の「Confirm the validity of configured CRL distribution points」が上記手順です。
CRLの配布ポイントを追加していますが、
今回はその逆を行っています。
スクリーンショット付で詳しいです。
「Base CRL」「Delta CRL」などの説明があります。
構文とオプションがまとめられています。
