Regla de recopilación para evento con origen EntidadDeCertificación e id. 23

Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.23 (Rule)

No se ha podido procesar una solicitud de certificado porque los datos especificados en el certificado eran incorrectos.

Knowledge Base article:

Resumen

Una de las funciones principales de una entidad de certificación (CA) es evaluar las solicitudes de certificados de clientes y, si se cumplen los criterios predefinidos, emitir certificados a dichos clientes. Para que la inscripción de certificados se complete correctamente es necesario disponer de una serie de elementos antes de enviar la solicitud, entre los que se incluye una CA con un certificado de CA válido; plantillas de certificados configuradas correctamente, cuentas de clientes y solicitudes de certificados; y alguna forma para que el cliente pueda enviar la solicitud a la CA, se valide su solicitud e instale el certificado emitido.

Soluciones

Revisar la solicitud de certificado para que contenga datos de entrada de certificado válidos

La solicitud de certificado especificada en el mensaje del registro de eventos contiene datos relativos a la longitud del campo que no son correctos. La longitud del campo debería ser inferior a 127 bytes. Para resolver este problema:

Envíe una nueva solicitud de certificado con campos que ocupen menos de 127 bytes para el campo especificado en la descripción del registro de eventos.

Para llevar a cabo estos procedimientos, debe poseer permisos de inscripción para un certificado basados en la plantilla del certificado.

Enviar una solicitud de certificado

Para enviar una solicitud de certificado:

Haga clic en Inicio, escriba mmc y, a continuación, presione ENTRAR.
Si se muestra el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que quiere y haga clic en Continuar.
En el menú Archivo, haga clic en Agregar o quitar complemento, en Certificados y, a continuación, en Agregar.
Seleccione el usuario de la cuenta de equipo y haga clic en Siguiente.
Haga clic en Finalizar y, a continuación, en Aceptar.
En el árbol de consola, haga clic en Certificados: Usuario actual o Certificados (equipo local) y, a continuación, en Personal.
En el menú Acción, seleccione Todas las tareas y haga clic en Solicitar un nuevo certificado para iniciar el Asistente para inscripción de certificados. Haga clic en Siguiente.
Seleccione los tipos de certificados que desee solicitar.
También puede hacer clic en Detalles para ver más información sobre cada certificado. Si aparece un símbolo de precaución bajo el certificado, es posible que deba proporcionar información adicional antes de solicitar ese tipo de certificado. Es necesario hacer clic en Más información para poder inscribirse para este certificado. Haga clic aquí para configurar el mensaje y proporcionar la información solicitada, como por ejemplo la ubicación de un certificado de firma válido.
Para terminar, haga clic en Inscribir.

Comprobación de una solicitud de certificado pendiente

Para comprobar una solicitud de certificado pendiente:

Abra Internet Explorer y escriba lo siguiente: https://servername/certsrv, donde "servername" es el nombre del servidor web que ejecuta Windows Server donde se encuentra ubicada la entidad de certificación (CA) a la que usted desea acceder.
Haga clic en Ver el estado de una solicitud de certificado pendiente.
Recibirá un mensaje si no hay solicitudes de certificados pendientes. De lo contrario, seleccione la solicitud de certificado que desee comprobar y, a continuación, haga clic en Siguiente.
Compruebe las solicitudes de certificados pendientes. Si está:
Aún pendiente, deberá esperar a que el administrador de la CA emita el certificado. Para eliminar la solicitud de certificado, haga clic en Quitar.
Emitido, podrá instalar el certificado. Haga clic en Instalar este certificado.
Denegado, necesitará investigar el motivo y determinar acciones de seguimiento adecuadas, si son necesarias.
Cuando haya terminado, cierre Internet Explorer.

Adicional

Para confirmar que el procesamiento de solicitud de certificados funciona correctamente:

Haga clic en Inicio, escriba certmgr.msc y, a continuación, presione ENTRAR.
Si se muestra el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que quiere y haga clic en Continuar.
En el árbol de consola, haga doble clic en Personal y, a continuación, haga clic en Certificados.
En el menú Acción, seleccione Todas las tareas y haga clic en Solicitar un nuevo certificado para iniciar el asistente para inscripción de certificados.
Use el asistente para crear y enviar una solicitud de certificado para cualquier tipo de certificado disponible.
En Resultados de la instalación del certificado, confirme que la inscripción se haya completado correctamente y que no se hayan detectado errores. También puede hacer clic en Detalles para ver más información sobre el certificado.

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.2016

Category

EventCollection

Enabled

True

Event_ID

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

Procesamiento de solicitud (inscripción) de certificados AD CS: error en la solicitud debido a la longitud de los datos

Descripción del evento: {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.23" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">23</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageIDa6158a00175248879165de9809c62f70"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>