Правило сбора для события с источником CertificationAuthority и ИД 102

Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.102 (Rule)

Службам сертификации не удалось создать перекрестный сертификат.

Knowledge Base article:

Сводка

При обновлении сертификата корневого центра сертификации (ЦС) как исходный, так и обновленный корневые сертификаты являются значимыми в иерархии открытого ключа. Исходный сертификат корневого ЦС обладает высшей степенью доверия в иерархии и помогает в проверке цепочек всех сертификатов, выданных по исходной иерархии. Обновленный корневой сертификат ЦС устанавливает степень доверия для всех сертификатов, выданных в иерархии после даты обновления

Для поддержки этих сценариев также создается пара сертификатов перекрестных ЦС с целью обеспечения отношения доверия между исходным и обновленным корневыми сертификатами.

Первый перекрестный сертификат проверяет доверие исходного сертификата корневого ЦС к обновленному сертификату ЦС.
Второй перекрестный сертификат проверяет доверие обновленного сертификата ЦС к исходному корневому сертификату.

При изменении ключей ЦС изолированные ЦС формируют самозаверяющие перекрестные сертификаты. Для каждого перехода ключа формируется перекрестный сертификат на период, в течение которого времена существования каждого сертификата перекрываются.

Решения

Когда сертификат корневого центра сертификации (ЦС) обновляется при помощи нового ключа, ЦС автоматически формирует перекрестные сертификаты между старыми и новыми сертификатами ЦС. Если при подписании перекрестного сертификата происходит ошибка шифрования, проблему можно решить путем устранения конфликта расширений. Если такое решение не подходит, включите диагностику CryptoAPI 2.0, чтобы собрать дополнительные сведения об устранении неполадок.

Для выполнения этих процедур необходимо иметь разрешение на управление ЦС либо обладать соответствующими делегированными полномочиями.

Устранение конфликта расширений

Чтобы устранить конфликт расширений, выполните следующие действия.

Нажмите кнопку "Пуск", введите "mmc", а затем нажмите клавишу ВВОД.
Если появляется диалоговое окно "Контроль учетных записей пользователей", убедитесь, что вам необходимо именно указанное в нем действие, и нажмите кнопку "Продолжить".
В меню "Файл" щелкните "Добавить или удалить оснастку", щелкните "Сертификаты" и "Добавить".
Щелкните "Учетная запись компьютера", затем щелкните "Далее".
Выберите компьютер, на котором размещен ЦС, щелкните "Готово" и "OK".
Щелкните вкладку "Сведения", затем щелкните "Отображение: только расширения".
Дважды щелкните предыдущий сертификат ЦС и просмотрите расширения, настроенные для этого сертификата.
Сравните расширения последнего и предыдущего сертификатов ЦС.
Исправьте все несовпадения расширений путем повторной настройки запроса на сертификат и отправки нового запроса на сертификат.

Примечание: Сведения о настройке пользовательского запроса на сертификат см. в разделе "Дополнительные возможности регистрации сертификатов и управления ими" ( http://go.microsoft.com/fwlink/?LinkID=74577).

Включение диагностики CryptoAPI 2.0

Чтобы включить диагностику CryptoAPI 2.0, выполните следующие действия.

На компьютере, на котором размещен ЦС, нажмите кнопку "Пуск", выберите "Администрирование" и щелкните "Просмотр событий".
В дереве консоли разверните "Просмотр событий" "Журналы приложений и служб", "Microsoft", "Windows", и "CAPI2".
Правой кнопкой мыши щелкните "Операционный", затем щелкните "Включить журнал".
Нажмите кнопку "Пуск", выберите "Администрирование", затем щелкните "Службы".
Правой кнопкой мыши щелкните "Службы сертификации Active Directory", затем щелкните "Перезапустить".
Проверьте наличие каких-либо ошибок проверки или построения цепочки сертификатов ЦС. Исправьте обнаруженные ошибки и перезапустите ЦС.

Если расширения верны, а проверка и построение цепочки сертификатов выполнены надлежащим образом, недостающие сертификаты перекрестных ЦС должны формироваться автоматически при перезапуске ЦС.

Дополнительно

Чтобы проверить способность центра сертификации (ЦС) к созданию перекрестного сертификата для сертификации собственного сертификата в ходе возобновления действия сертификата ЦС, выполните следующие действия.

На компьютере, на котором размещен ЦС, нажмите кнопку Пуск, выберите Администрирование и щелкните Центр сертификации.
В дереве консоли щелкните имя ЦС.
В меню Действие выберите Все задачи и щелкните Обновить сертификат ЦС, чтобы запустить мастер обновления сертификатов.
Откройте оснастку "Сертификаты" на компьютере и дважды щелкните сертификат ЦС.
Щелкните вкладку Сведения, затем щелкните Отображение: только расширения.
Дважды щелкните предыдущий сертификат ЦС и просмотрите расширения, настроенные для этого сертификата.
Сравните расширения последнего и предыдущего сертификатов ЦС, чтобы убедиться в их соответствии.

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.2016

Category

EventCollection

Enabled

True

Event_ID

102

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

Перекрестная сертификация службы сертификации Active Directory — конфликт расширений

Описание события: {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.102" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">102</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageID45e4d639a5ed47f4b4f4ae5914594727"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>