Home
  •  

Regola Raccolta per l'evento con origine Autorità di certificazione e ID 10

Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.10 (Rule)

Servizi certificati: impossibile verificare lo stato di revoca.

Knowledge Base article:

Riepilogo

Una delle funzioni principali di un'autorità di certificazione (CA) è quella di valutare le richieste di certificati da parte dei client e, se sono soddisfatti i criteri predefiniti, rilasciare certificati a tali client. Affinché la registrazione del certificato venga eseguita correttamente, occorre che sia presente un certo numero di elementi prima dell'invio della richiesta, compresa una CA dotata di certificato CA valido, modelli di certificato configurati correttamente, account dei client, richieste di certificato e un metodo mediante il quale il client può inviare la richiesta alla CA, ottenerne la convalida e installare il certificato emesso.

Soluzioni

Risoluzione dei problemi che possono impedire il controllo della revoca

Il controllo della revoca non riesce quando non è possibile verificare ogni certificato di una catena. Per risolvere questo problema:

Confermare i certificati nella catena per l'autorità di certificazione (CA).

Individuare e correggere i problemi di risorse che potrebbero impedire il controllo di revoca.

Per identificare e risolvere problemi più complessi che impediscono il controllo di revoca, abilitare la diagnostica CryptoAPI 2.0.

Per eseguire questa procedura è necessario disporre dell'autorizzazione Gestione CA oppure avere ricevuto in delega l'autorità appropriata.

Verifica della catena di certificati per la CA

Per convalidare la catena per la CA:

Fare clic su Start, digitare mmc, quindi premere INVIO.

Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata, quindi fare clic su Continua.

Nel menu File fare clic su Aggiungi/Rimuovi snap-in, fare clic su Certificati, quindi fare clic su Aggiungi.

Fare clic su Account del computer, quindi fare clic su Avanti.

Selezionare il computer su cui si trova la CA, fare clic su Fine, quindi fare clic su OK.

Selezionare ogni certificato CA nella catena di certificati.

Nel menu Azione, scegliere Tutte le attività, quindi fare clic su Esporta per avviare l'Esportazione guidata certificati. Salvare ogni certificato con estensione .cer.

Fare clic sul pulsante Start, digitare cmd e premere INVIO.

Per ogni certificato CA digitare il comando certutil -urlfetch -verify<certificatoCA.cer> e premere INVIO.

Eseguire nuovamente lo stesso comando per verificare i CRL per la CA che avrebbe dovuto rilasciare il certificato e la relativa catena.

Risolvere eventuali problemi individuati nell'output del comando.

Per eseguire queste procedure è necessario appartenere al gruppo Administrators locale oppure avere ricevuto in delega l'autorità appropriata.

Individuazione e correzione dei problemi di risorse che potrebbero impedire il controllo di revoca

Per verificare che il controllo di revoca non venga impedito da un problema hardware:

Sul computer su cui si trova la CA, fare clic sul pulsante Start, scegliere Strumenti di amministrazione, quindi fare clic su Monitoraggio affidabilità e Performance Monitor per valutare l'uso della memoria e del disco sulla CA. 

Se necessario, aumentare le risorse di Windows aggiungendo memoria fisica, memoria virtuale o spazio di archiviazione fisico.

Attivazione della diagnostica CryptoAPI 2.0

Per attivare la diagnostica CryptoAPI 2.0:

Sul computer su cui si trova la CA, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic sul Visualizzatore eventi.

Nell'albero della console, espandere Visualizzatore eventi, Registri applicazioni e servizi, Microsoft, Windows e CAPI2.

Fare clic con il pulsante destro del mouse su Operativo, quindi fare clic su Attiva registro.

Fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Servizi.

Fare clic con il pulsante destro del mouse su Servizi certificati Active Directory, quindi fare clic su Riavvia.

Per altre informazioni sulla revoca dei certificati e sul controllo dello stato, vedere http://go.microsoft.com/fwlink/?LinkID=124408.

Informazioni aggiuntive

Per verificare il corretto funzionamento dell'elaborazione delle richieste di certificati:

Fare clic sul pulsante Start, digitare certmgr.msc, quindi premere INVIO.

Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata, quindi fare clic su Continua.

Nell'albero della console fare doppio clic su Personale, quindi fare clic su Certificati.

Nel menu Azione, scegliere Tutte le attività, quindi fare clic su Richiedi nuovo certificato per avviare la procedura guidata di registrazione certificato. 

Utilizzare la procedura guidata per creare e inviare una richiesta di certificato per qualsiasi tipo di certificato disponibile.

In Risultati installazione certificati, verificare che la registrazione venga completata correttamente e che non vengano segnalati errori. È anche possibile fare clic su Dettagli per visualizzare ulteriori informazioni sul certificato.

Element properties:

TargetMicrosoft.Windows.CertificateServices.CARole.2016
CategoryEventCollection
EnabledTrue
Event_ID10
Event SourceMicrosoft-Windows-CertificationAuthority
Alert GenerateFalse
RemotableTrue
Event LogApplication

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.EventProvider Default
WriteToCertSvcEvents WriteAction Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher Default
WriteToDB WriteAction Microsoft.SystemCenter.CollectEvent Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.10" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">10</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

  </WriteActions>

</Rule>