Pravidlo kolekce pro událost se zdrojem CertificationAuthority a ID 21

Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.21 (Rule)

Certifikační službě se nezdařilo zpracovat požadavek.

Knowledge Base article:

Souhrn

Jednou z primárních funkcí certifikační autority (CA) je vyhodnocování žádostí o certifikát od klientů, a pokud jsou splněna předdefinovaná kritéria, vydávání certifikátů těmto klientům. Má-li zápis certifikátu proběhnout úspěšně, musí být před odesláním žádosti k dispozici řada prvků včetně certifikační autority s platným certifikátem certifikační autority, řádně nakonfigurované šablony certifikátů, klientských účtů a žádostí o certifikát; musí existovat způsob k odeslání žádosti klientem na certifikační autoritu, ověření žádosti a instalaci vystaveného certifikátu.

Řešení

Odstraňte problémy bránící zpracování žádostí o certifikát

Zpracování žádosti o certifikát může bránit řada problémů. Pokud zpráva protokolu událostí neobsahuje všechny informace potřebné k vyřešení problému, mohou vám při zjišťování příčiny pomoci další chyby a upozornění předcházející nebo následující za touto zprávou protokolu událostí.

Ke zjištění a odstranění problémů, které mohou bránit zpracování žádosti o certifikát, byste měli provést následující kroky:

Zkontrolujte řetěz certifikátů pro certifikační autoritu (CA).
Vytvořte a publikujte nové seznamy odvolaných certifikátů (CRL).
Zkontrolujte nakonfigurovaná distribuční místa seznamu odvolaných certifikátů.
Pokud výše uvedené kroky problém nevyřeší, vyhledejte ve frontě zamítnutých žádostí certifikační autority informaci, proč byla žádost zamítnuta.

Abyste mohli provést následující postupy, musíte mít oprávnění pro správu certifikační autority, nebo musíte mít přiděleno příslušné oprávnění.

Zkontrolujte řetěz certifikátů pro certifikační autoritu

Postup ověření řetězu pro certifikační autoritu:

Klikněte na tlačítko Start, zadejte mmc a stiskněte klávesu ENTER.
Pokud se otevře dialogové okno Řízení uživatelských účtů, zkontrolujte, jestli zobrazená akce odpovídá vašemu požadavku, a pak klikněte na Pokračovat.
V nabídce Soubor klikněte na možnost Přidat nebo odebrat modul snap-in, klikněte na Certifikáty a poté na Přidat.
Klikněte na možnost Účet počítače a pak na Další.
Vyberte počítač hostující certifikační autoritu, klikněte na Dokončit a poté na OK.
Vyberte každý certifikát certifikační autority v řetězu certifikátů a klikněte na Zobrazit certifikát.
Klikněte na kartu Podrobnosti a kliknutím na Kopírovat do souboru spusťte Průvodce exportem certifikátu. Každý certifikát uložte s příponou .cer.
Otevřete příkazový řádek a pro každý certifikát CA spusťte následující příkaz: certutil -urlfetch -verify <CAcert.cer>. Každý příkaz potvrďte stisknutím ENTER. Místo <CAcert.cer> zadejte název souboru certifikátu CA, který jste uložili v kroku 7.
Stejný příkaz použijte se souborem certifikátu pro certifikát koncové entity (uživatel nebo počítač) vystavený certifikační autoritou k potvrzení seznamů odvolaných certifikátů pro samotnou certifikační autoritu i pro její řetěz.
Vyřešte případné problémy uvedené ve výstupu příkazového řádku.

Vytvořte a publikujte nové seznamy odvolaných certifikátů

Pokud výstup příkazového řádku poukazuje na to, že vypršela platnost seznamu odvolaných certifikátů pro certifikační autoritu, vytvořte na certifikační autoritě nové základní a rozdílové seznamy odvolaných certifikátů a zkopírujte je do příslušných umístění. Tento postup může vyžadovat restartování certifikační autority, která je ve stavu offline.

V CA zkontrolujte aktuálně publikovaný seznam odvolaných certifikátů (CRL). CA ve výchozím nastavení vytváří seznamy CRL ve složce %windir%\System32\CertSrv\CertEnroll. Pokud vypršela platnost seznamů odvolaných certifikátů, které se aktuálně nacházejí v tomto umístění, nebo jsou tyto seznamy neplatné, můžete publikovat nový CRL pomocí následujícího postupu.

Postup publikování seznamu odvolaných certifikátů pomocí modulu snap-in Certifikační autorita:

Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na možnost Certifikační autorita.
Vyberte certifikační autoritu a rozbalte složky pod názvem certifikační autority.
Klikněte pravým tlačítkem na složku Odvolané certifikáty.
Klikněte na možnost Všechny úlohy a poté na Publikovat.

Seznamy odvolaných certifikátů lze rovněž generovat a publikovat pomocí příkazového řádku.

Postup publikování seznamu odvolaných certifikátů pomocí nástroje pro příkazový řádek Certutil:

Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, zadejte příkaz cmd a stiskněte klávesu ENTER.
Zadejte příkaz certutil -CRL a stiskněte klávesu ENTER.

Je-li seznam odvolaných certifikátů identifikován jako nedostupný, ale v místním adresáři certifikační autority existuje platný seznam odvolaných certifikátů, zkontrolujte, zda se certifikační autorita může připojit k distribučnímu místu seznamu odvolaných certifikátů a poté pomocí předcházejících kroků znovu vygenerujte a publikujte seznamy odvolaných certifikátů.

Seznamy odvolaných certifikátů lze pomocí následujícího příkazu publikovat ručně do služby Active Directory Domain Services (AD DS):

certutil -dspublish"<název_seznamu_CRL.crl>" ldap:///CN=<název_CA>,CN=<název_hostitele_CA>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint

Místo <název_seznamu_CRL.crl> napište název svého souboru CRL a místo <název_CA> a <název_hostitele_CA> napište název své CA a název hostitele, na kterém běží. Dále místo <contoso> a <com> zadejte obor názvů své domény Active Directory.

Zkontrolujte nakonfigurovaná distribuční místa seznamu odvolaných certifikátů

Zkontrolujte všechna nakonfigurovaná distribuční místa seznamu odvolaných certifikátů a ověřte, zda publikace proběhla úspěšně a v síti jsou dostupné nové seznamy odvolaných certifikátů.

Postup kontroly nakonfigurovaných distribučních míst seznamu odvolaných certifikátů pomocí modulu snap-in Certifikační autorita:

Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na možnost Certifikační autorita.
Klikněte pravým tlačítkem na název certifikační autority a klikněte na Vlastnosti.
Klikněte na kartu Rozšíření.
Zkontrolujte správnost informací u nakonfigurovaných distribučních míst seznamu odvolaných certifikátů.

Postup kontroly adres URL nakonfigurovaných distribučních míst seznamu odvolaných certifikátů pomocí nástroje Certutil:

Otevřete okno příkazového řádku na certifikační autoritě.
Zadejte příkaz certutil -getreg ca\crlpublicationurls a stiskněte klávesu ENTER.

Zkontrolujte frontu zamítnutých žádostí na certifikační autoritě

Postup kontroly fronty zamítnutých žádostí na certifikační autoritě pomocí modulu snap-in Certifikační autorita:

Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na možnost Certifikační autorita.
Klikněte na složku Zamítnuté žádosti.
Hledejte zamítnuté žádosti, které byly odeslány v čase události nebo její blízkosti, a zjistěte doplňkové diagnostické informace ve sloupcích, jako je Zpráva o povaze žádosti, Kód stavu žádosti a Jméno odesílatele.

Postup kontroly zamítnutých žádostí pomocí nástroje Certutil:

Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, zadejte příkaz cmd a stiskněte ENTER.
Zadejte příkaz certutil -view LogFail a stiskněte klávesu ENTER.
Napište certutil -view -restrict requestID="<nnn>" a stiskněte ENTER. Místo <nnn> zadejte ID jednoho z neúspěšných požadavků ve výstupu příkazu LogFail.

Další informace

Postup kontroly správného zpracovávání žádostí o certifikát:

Klikněte na tlačítko Start, zadejte certmgr.msc a stiskněte klávesu ENTER.
Pokud se otevře dialogové okno Řízení uživatelských účtů, zkontrolujte, jestli zobrazená akce odpovídá vašemu požadavku, a pak klikněte na Pokračovat.
Ve stromu konzoly dvakrát klikněte na položku Osobní a poté klikněte na Certifikáty.
V nabídce Akce přesuňte ukazatel na možnost Všechny úlohy a kliknutím na Požádat o nový certifikát spusťte Průvodce zápisem certifikátu.
Průvodce slouží k vytvoření a odeslání žádosti o certifikát pro jakýkoli dostupný typ certifikátu.
V oblasti Výsledky instalace certifikátu zkontrolujte, zda byl zápis úspěšně dokončen a nejsou hlášeny chyby. Můžete rovněž kliknout na Podrobnosti a zobrazit doplňkové informace o certifikátu.

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.2016

Category

EventCollection

Enabled

True

Event_ID

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

Služba AD CS: Zpracovávání žádosti o certifikát (zápis) – Žádost nebyla úspěšná (podrobnosti).

Popis události: {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.21" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">21</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageID42b3cc830b884161b292de001ad930e4"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>