CertificationAuthority kaynağına ve 102 kimliğine sahip olay için Toplama Kuralı

Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.102 (Rule)

Sertifika Hizmetleri, karşılıklı sertifika oluşturamadı.

Knowledge Base article:

Özet

Bir kök sertifika yetkilisi (CA) sertifikası yenilendiğinde, hem özgün kök sertifika hem de yenilenen kök sertifika, ortak anahtar hiyerarşisindeki önemini korur. Özgün kök CA sertifikası, hiyerarşi için nihai güven altyapısı olmaya devam eder ve özgün hiyerarşi altında verilen tüm sertifikalara yönelik sertifika zincirlerinin doğrulanmasına yardımcı olur. Yenilenen kök CA sertifikası, yenilenme tarihinden itibaren hiyerarşide verilen tüm sertifikalar için güven altyapısı sunar

Bu senaryoları desteklemek üzere, özgün ve yenilenen kök sertifika arasında güven ilişkisi kurmak üzere ayrıca bir çift karşılıklı CA sertifikası oluşturulur.

İlk karşılıklı sertifika, özgün kök CA sertifikasının yenilenen CA sertifikasına güvendiğini doğrular.
İkinci karşılıklı sertifika, yenilenen CA sertifikasının özgün kök sertifikaya güvendiğini doğrular.

Tek başına CA'lar, CA anahtarları değiştirildiğinde otomatik olarak imzalanan karşılıklı sertifikalar oluşturur. Her kök sertifikanın ömrünün çakıştığı süre boyunca, her anahtar geçişi için bir karşılıklı sertifika oluşturulur.

Çözümler

Bir kök sertifika yetkilisi (CA) sertifikası yeni bir anahtarla yenilendiğinde, CA eski ve yeni CA sertifikaları arasında otomatik olarak karşılıklı sertifikalar oluşturur. Karşılıklı sertifika imzalanırken bir şifreleme hatası oluşursa, uzantı çakışmasını düzelterek sorunu çözebilirsiniz. Çözemezseniz, ek sorun giderme bilgilerini edinmek için CryptoAPI 2.0 Tanılama'yı etkinleştirin.

Bu yordamları gerçekleştirmek için CA'yı Yönet izinlerine sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.

Uzantı çakışmasını çözün

Uzantı çakışmasını çözmek için:

Başlat'a tıklayın, mmc yazın ve sonra ENTER tuşuna basın.
Kullanıcı Hesabı Denetimi iletişim kutusu görüntülenirse, burada görüntülenen eylemin istediğiniz eylem olduğunu doğrulayın ve sonra Devam'a tıklayın.
Dosya menüsünde, Ek Bileşen Ekle/Kaldır'a tıklayın, Sertifikalar'a tıklayın ve sonra Ekle'ye tıklayın.
Bilgisayar hesabı öğesine ve sonra İleri'ye tıklayın.
CA'yı barındıran bilgisayarı seçin, Son'a ve sonra Tamam'a tıklayın.
Ayrıntılar sekmesine tıklayın ve Göster: Yalnızca uzantılar seçeneğine tıklayın.
Önceki CA sertifikasına çift tıklayın ve bu sertifikaya yönelik yapılandırılan uzantıları görüntüleyin.
En son CA sertifikasındaki uzantıları, önceki CA sertifikasındaki uzantılarla karşılaştırın.
Sertifika isteğini yeniden yapılandırarak ve yeni bir sertifika isteği göndererek, uzantılar arasındaki uyumsuzlukları düzeltin.

Not: Not: Özel bir sertifika isteği yapılandırma hakkında bilgi için, bkz. "Advanced Certificate Enrollement and Management" (Gelişmiş Sertifika Kaydı ve Yönetimi http://go.microsoft.com/fwlink/?LinkID=74577).

CryptoAPI 2.0 Tanılama'yı etkinleştirin

CryptoAPI 2.0 Tanılama'yı etkinleştirmek için:

CA'yı barındıran bilgisayarda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Olay Görüntüleyicisi'ne tıklayın.
Konsol ağacında, Olay Görüntüleyicisi'ni, Uygulama ve Hizmet Günlükleri'ni, Microsoft'u, Windows'u ve CAPI2'yi genişletin.
İşlemsel'e sağ tıklayın ve Günlüğü Etkinleştir'e tıklayın.
Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Hizmetler'e tıklayın.
Active Directory Sertifika Hizmetleri'ne sağ tıklayın ve Yeniden Başlat'a tıklayın.
Herhangi bir CA sertifikası doğrulama veya zincir oluşturma hatası olup olmadığını denetleyin. Tüm hataları düzeltin ve sonra CA'yı tekrar yeniden başlatın.

Uzantılar doğruysa ve CA sertifikası doğrulama ve zincir oluşturma doğruysa, CA yeniden başlatıldığında eksik karşılıklı CA sertifikaları otomatik olarak oluşturulmalıdır.

Ek

Sertifika yetkilisinin (CA) CA sertifikası yenileme işlemi sırasında kendi sertifikasını onaylamak üzere bir karşılıklı sertifika oluşturabildiğini doğrulamak için:

CA'yı barındıran bilgisayarda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Sertifika Yetkilisi'ne tıklayın.
Konsol ağacında, CA'nın adına tıklayın.
Eylem menüsünde, Tüm Görevler'in üzerine gidin ve Sertifika Yenileme Sihirbazı'nı başlatmak için CA Sertifikasını Yenile öğesine tıklayın.
Bilgisayar üzerinde Sertifikalar ek bileşenini açın ve CA sertifikasına çift tıklayın.
Ayrıntılar sekmesine tıklayın ve Göster:Yalnızca uzantılar seçeneğine tıklayın.
Önceki CA sertifikasına çift tıklayın ve bu sertifikaya yönelik yapılandırılan uzantıları görüntüleyin.
Eşleştiklerini onaylamak için, en son CA sertifikasındaki uzantıları, önceki CA sertifikasındaki uzantılarla karşılaştırın.

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.2016

Category

EventCollection

Enabled

True

Event_ID

102

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

AD CS Karşılıklı Sertifika - Uzantı çakışması

Olay Açıklaması: {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.102" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">102</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageID45e4d639a5ed47f4b4f4ae5914594727"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>