Regola Raccolta per l'evento con origine Autorità di certificazione e ID 21

Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.21 (Rule)

Servizi certificati: impossibile elaborare una richiesta.

Knowledge Base article:

Riepilogo

Una delle funzioni principali di un'autorità di certificazione (CA) è quella di valutare le richieste di certificati da parte dei client e, se sono soddisfatti i criteri predefiniti, rilasciare certificati a tali client. Affinché la registrazione del certificato venga eseguita correttamente, occorre che sia presente un certo numero di elementi prima dell'invio della richiesta, compresa una CA dotata di certificato CA valido, modelli di certificato configurati correttamente, account dei client, richieste di certificato e un metodo mediante il quale il client può inviare la richiesta alla CA, ottenerne la convalida e installare il certificato emesso.

Soluzioni

Correzione dei problemi che impediscono l'elaborazione delle richieste di certificati

Determinati problemi possono impedire l'elaborazione di una richiesta di certificato. Se il messaggio del registro eventi non contiene tutte le informazioni necessarie per risolvere il problema, altri errori e avvisi che precedono o seguono questo messaggio del registro eventi possono essere utili a identificare la causa.

Per identificare e risolvere i problemi che possono bloccare l'elaborazione delle richieste di certificato, è necessario:

Verificare la catena di certificati per l'autorità di certificazione (CA).
Generare e pubblicare nuovi elenchi di revoche di certificati (CRL).
Verificare i punti di distribuzione Elenco di revoche di certificati (CRL) configurati.
Se questa procedura non consente di risolvere il problema, controllare la coda delle richieste non riuscite sulla CA per ottenere informazioni sul motivo della mancata esecuzione della richiesta.

Per eseguire le procedure seguenti, è necessario disporre dell'autorizzazione Gestione CA oppure avere ricevuto in delega l'autorità appropriata.

Verificare la catena di certificati per la CA

Per convalidare la catena per la CA:

Fare clic su Start, digitare mmc, quindi premere INVIO.
Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata, quindi fare clic su Continua.
Nel menu File fare clic su Aggiungi/Rimuovi snap-in, fare clic su Certificati, quindi fare clic su Aggiungi.
Fare clic su Account del computer, quindi fare clic su Avanti.
Selezionare il computer su cui si trova la CA, fare clic su Fine, quindi fare clic su OK.
Selezionare ogni certificato CA nella catena di certificati, quindi fare clic su Visualizza certificato.
Fare clic sulla scheda Dettagli, quindi fare clic su Copia su file per avviare l'Esportazione guidata certificati. Salvare ogni certificato con estensione .cer.
Aprire un prompt dei comandi ed eseguire il comando seguente su ogni certificato CA: certutil -urlfetch -verify <certificatoCA.cer>, quindi premere INVIO. Sostituire <certificatoCA.cer> con il nome di un file di certificato CA salvato al passaggio 7.
Utilizzare lo stesso comando con un file di certificato per un'entità finale (utente o computer) emesso dalla CA per verificare i CRL per la CA stessa e la relativa catena.
Risolvere eventuali problemi individuati nell'output della riga di comando.

Generare e pubblicare nuovi CRL

Se l'output della riga di comando indica che un CRL per una CA è scaduto, generare nuovi Base CRL e Delta CRL nella CA e copiarli nei percorsi necessari. A tale scopo potrebbe essere necessario riavviare una CA non in linea.

Nella CA, controllare il CRL corrente pubblicato. Per impostazione predefinita, la CA crea i CRL nella cartella %windir%\System32\CertSrv\CertEnroll. Se i CRL attualmente in questo percorso sono scaduti o non sono validi, attenersi alla procedura seguente per pubblicare un nuovo CRL.

Per pubblicare un nuovo CRL utilizzando lo snap-in Autorità di certificazione:

Sul computer su cui si trova la CA, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Autorità di certificazione.
Selezionare la CA ed espandere le cartelle sotto il nome della CA.
Fare clic con il pulsante destro del mouse sulla cartella Certificati revocati.
Fare clic su Tutte le attività, quindi fare clic su Pubblica.

È anche possibile generare e pubblicare CRL da un prompt dei comandi.

Per pubblicare un CRL usando lo strumento da riga di comando Certutil:

Nel computer in cui si trova la CA fare clic sul pulsante Start, digitare cmd e premere INVIO.
Tipo certutil-CRL e premere INVIO.

Se un CRL è indicato come non disponibile, ma è presente un CRL valido nella directory locale della CA, verificare che la CA sia in grado di connettersi al punto di distribuzione CRL, quindi utilizzare i passaggi precedenti per generare e pubblicare nuovamente i CRL.

I CRL possono essere pubblicati manualmente su Servizi di dominio Active Directory (AD DS) utilizzando il seguente comando:

certutil -dspublish"<nomeCRL.crl>" ldap:///CN=<nome CA>,CN=<nome host CA>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint

Sostituire nomeCRL.crl con il nome del file CRL, <nome CA> e <nome host CA> con il nome della CA e il nome dell'host in cui viene eseguita la CA, e <contoso> e <com> con lo spazio dei nomi del dominio Active Directory.

Verificare i punti di distribuzione Elenco di revoche di certificati (CRL) configurati

Controllare tutti i punti di distribuzione Elenco di revoche di certificati (CRL) configurati per verificare che la pubblicazione sia stata eseguita correttamente e che i nuovi CRL siano disponibili sulla rete.

Per controllare i punti di distribuzione Elenco di revoche di certificati (CRL) configurati utilizzando lo snap-in Autorità di certificazione:

Sul computer su cui si trova la CA, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Autorità di certificazione.
Fare clic con il pulsante destro del mouse sul nome della CA, quindi fare clic su Proprietà.
Fare clic sulla scheda Estensioni.
Rinnovare i punti di distribuzione Elenco di revoche di certificati (CRL) per assicurarsi che le informazioni siano corrette.

Per controllare gli URL dei punti di distribuzione CRL configurati usando Certutil:

Aprire una finestra del prompt dei comandi sulla CA.
Digitare il comando seguente: certutil -getreg ca\crlpublicationurls e premere INVIO.

Controllare la coda delle richieste non riuscite sulla CA

Per controllare la coda delle richieste non riuscite sulla CA usando lo snap-in Autorità di certificazione:

Sul computer su cui si trova la CA, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Autorità di certificazione.
Fare clic sulla cartella Richieste non riuscite.
Cercare le richieste non riuscite inviate in corrispondenza o in prossimità del momento dell'evento, e controllare le eventuali ulteriori informazioni di diagnostica nelle colonne quali Messaggio disposizione richiesta, Codice stato richiesta e Nome richiedente.

Per verificare le richieste non riuscite usando Certutil:

Nel computer in cui si trova la CA fare clic sul pulsante Start, digitare cmd e premere INVIO.
Digitare certutil -view LogFail e premere INVIO.
Digitare certutil -view -restrict requestID="<nnn>" e premere INVIO. Sostituire <nnn> con l'ID richiesta di una delle richieste non riuscite nell'output del comando LogFail.

Informazioni aggiuntive

Per verificare il corretto funzionamento dell'elaborazione delle richieste di certificati:

Fare clic su Start, digitare certmgr.msc, quindi premere INVIO.
Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata, quindi fare clic su Continua.
Nell'albero della console fare doppio clic su Personale, quindi fare clic su Certificati.
Nel menu Azione, scegliere Tutte le attività, quindi fare clic su Richiedi nuovo certificato per avviare la procedura guidata di registrazione certificato.
Utilizzare la procedura guidata per creare e inviare una richiesta di certificato per qualsiasi tipo di certificato disponibile.
In Risultati installazione certificati, verificare che la registrazione venga completata correttamente e che non vengano segnalati errori. È anche possibile fare clic su Dettagli per visualizzare ulteriori informazioni sul certificato.

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.2016

Category

EventCollection

Enabled

True

Event_ID

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

Elaborazione (registrazione) della richiesta di certificato di Servizi certificati Active Directory - Richiesta non riuscita (dettagli)

Descrizione evento: {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.21" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">21</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageID42b3cc830b884161b292de001ad930e4"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>