Insamlingsregel för händelse med källan CertificationAuthority och ID 102

Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.102 (Rule)

Certifikattjänster kunde inte skapa ett korscertifikat.

Knowledge Base article:

Sammanfattning

När ett rotcertifikatutfärdarcertifikat förnyas är både det ursprungliga rotcertifikatet och det förnyade rotcertifikatet viktigt i den offentliga nyckelhierarkin. Det ursprungliga CA-certifikatet är hierarkins förtroendegrund och hjälper till att validera certifikatkedjorna för alla certifikat som har utfärdats av den ursprungliga hierarkin. Det förnyade rot-CA-certifikatet utgör förtroendegrunden för alla certifikat som utfärdas i hierarkin från och med förnyelsedatumet

Ett par kors-CA-certifikat skapas också för att stöda dessa scenarier och skapa förtroendeförhållandet mellan det ursprungliga och det förnyade rotcertifikatet:

Det första korscertifikatet kontrollerar att det ursprungliga rot-CA-certifikatet har förtroende för det förnyade CA-certifikatet.
Det andra korscertifikatet kontrollerar att det förnyade rot-CA-certifikatet har förtroende för det ursprungliga rotcertifikatet.

Fristående certifikatutfärdare genererar självsignerade korscertifikat när CA-nycklar ändras. Ett korscertifikat genererar för varje nyckelövergång för perioden där rotcertifikatens livslängder överlappar.

Lösningar

När ett rotcertifikatutfärdarcertifikat förnyas med en ny nyckel genererar certifikatutfärdaren automatiskt korscertifikat mellan de nya och de gamla CA-certifikaten. Om ett krypteringsfel inträffade under signeringen av korscertifikaten kan du lösa problemet genom att korrigera tilläggskonflikten. Annars aktiverar du CryptoAPI 2.0-diagnostik för att samla in ytterligare felsökningsinformation.

För att kunna utföra dessa procedurer måste du ha behörighet att hantera certifikatutfärdare, eller ha tilldelats lämplig auktoritet.

Lös en tilläggskonflikt

Lösa en tilläggskonflikt:

Klicka på Start, skriv mmc och tryck på RETUR.
Om dialogrutan Kontroll av användarkonto visas bekräftar du att den åtgärd som visas är den du önskar och klickar på Fortsätt.
Klicka på Lägg till/ta bort snapin i Arkiv-menyn, klicka på Certifikat och Lägg till.
Klicka på Datorkonto och Nästa.
Markera den dator som kör CA och klicka på Slutför och OK.
Klicka på fliken Information och sedan på Visa: Endast tillägg.
Dubbelklicka på det tidigare CA-certifikatet och visa certifikatets konfigurerade tillägg.
Jämför tilläggen i det senaste CA-certifikatet med tilläggen i det tidigare CA-certifikatet.
Korrigera allt som inte stämmer överens i tilläggen genom att konfigurera om certifikatbegäran och skicka en ny certifikatbegäran.

Obs! Information om hur du konfigurerar en anpassad certifikatbegäran finns på Avancerad certifikatregistrering och -hantering ( http://go.microsoft.com/fwlink/?LinkID=74577).

Aktivera CryptoAPI 2.0-diagnostik

Aktivera CryptoAPI 2.0-diagnostik:

Klicka på Start på datorn som kör certifikatutfärdaren, peka på Administrationsverktyg och klicka på Loggboken.
Expandera Loggboken, Program- och tjänsteloggar, Microsoft, Windows och CAPI2 i konsolträdet.
Högerklicka på Arbetsloggen och klicka på Aktivera logg.
Klicka på Start, peka på Administrationsverktyg och klicka på Tjänster.
Högerklicka på Active Directory-certifikattjänster och klicka på Starta om.
Sök efter fel vid verifiering eller kedjning av CA-certifikat. Lös alla problem och starta om certifikatutfärdaren igen.

Om tilläggen och verifieringen och kedjningen av CA-certifikat är korrekta bör kors-CA-certifikaten som saknas genereras automatiskt när certifikatutfärdaren startas om.

Ytterligare

Kontrollera att certifikatutfärdaren kan skapa ett korscertifikat för att certifiera det egna certifikatet vid förnyelsen av CA-certifikatet genom att:

Klicka på Start på datorn som kör certifikatutfärdaren, peka på Administrationsverktyg och klicka på Certifikatutfärdare.
Klicka på namnet för certifikatutfärdaren i konsolträdet.
Peka på Alla uppgifter i Åtgärdsmenyn och klicka på Förnya CA-certifikat för att starta guiden Förnya certifikat.
Öppna snapin-modulen för certifikat på datorn och dubbelklicka på CA-certifikatet.
Klicka på fliken Information och sedan på Visa: Endast tillägg.
Dubbelklicka på det tidigare CA-certifikatet och visa certifikatets konfigurerade tillägg.
Jämför tilläggen i det senaste CA-certifikatet med tilläggen i det tidigare CA-certifikatet för att bekräfta att de stämmer överens.

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.2016

Category

EventCollection

Enabled

True

Event_ID

102

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

AD CS-korscertifiering – tilläggskonflikt

Händelsebeskrivning: {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.102" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">102</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageID45e4d639a5ed47f4b4f4ae5914594727"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>