원본이 CertificationAuthority이고 ID가 23인 이벤트에 대한 수집 규칙

Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.23 (Rule)

잘못된 인증서 입력 데이터 때문에 인증서 요청을 처리하지 못했습니다.

Knowledge Base article:

요약

CA(인증 기관)의 주요 기능 중 하나는 클라이언트의 인증서 요청을 평가하는 것으로, 미리 정의된 조건을 충족할 경우에는 이러한 클라이언트에게 인증서를 발급합니다. 인증서 등록에 성공하려면 요청을 제출하기 전에 유효한 CA 인증서를 사용하는 CA, 올바르게 구성된 인증서 템플릿, 클라이언트 계정, 인증서 요청, 클라이언트가 CA에 요청을 제출하는 방법을 비롯한 여러 요소가 준비되어 있어야 하고 요청이 확인되면 발급된 인증서를 설치해야 합니다.

해결 방법

유효한 인증서 입력 데이터를 포함하도록 인증서 요청 수정

이벤트 로그 메시지에서 지정하는 인증서 요청에 필드 길이가 잘못된 데이터가 들어 있습니다. 필드 길이는 127바이트 미만이어야 합니다. 이 문제를 해결하려면 다음과 같이 합니다.

이벤트 로그 설명에서 지정하는 필드에 대해 길이가 127바이트 미만인 필드로 새 인증서 요청을 제출합니다.

다음 절차를 수행하려면 인증서 템플릿 기반 인증서에 대한 등록 권한이 있어야 합니다.

인증서 요청 제출

인증서 요청을 제출하려면:

시작을 클릭하고 mmc를 입력한 다음 Enter 키를 누릅니다.
[사용자 계정 컨트롤] 대화 상자가 나타나면 표시되는 작업이 원하는 작업인지 확인한 다음 [계속]을 클릭합니다.
[파일] 메뉴에서 [스냅인 추가/제거], [인증서], [추가]를 차례대로 클릭합니다.
사용자 또는 컴퓨터 계정을 선택하고 다음을 클릭합니다.
[마침]을 클릭한 다음 [확인]을 클릭합니다.
콘솔 트리에서 [인증서 - 현재 사용자] 또는 [인증서(로컬 컴퓨터)]를 클릭한 다음 [개인]을 클릭합니다.
작업 메뉴에서 모든 작업을 가리킨 후 새 인증서 요청을 클릭하여 인증서 등록 마법사를 시작합니다. 다음을 클릭합니다.
요청하려는 인증서 유형을 선택합니다.
세부 정보를 클릭하면 각 인증서에 대한 자세한 내용을 검토할 수 있습니다. 인증서 아래에 주의 기호가 나타나면 해당 유형의 인증서를 요청하기 전에 추가 정보를 입력해야 할 수 있습니다. 이 인증서를 등록하려면 추가 정보를 클릭해야 합니다. 여기를 클릭하여 메시지를 구성하고 유효한 서명 인증서의 위치와 같이 요청된 정보를 입력합니다.
마치려면 등록을 클릭합니다.

보류 중인 인증서 요청 확인

보류 중인 인증서 요청을 확인하려면:

Internet Explorer를 열고 https://서버 이름/certsrv를 입력합니다. 여기서 서버 이름은 액세스하려는 CA(인증 기관)이 있는 Windows Server가 실행되고 있는 웹 서버 이름입니다.
보류 중인 인증서 요청 상태 확인을 클릭합니다.
보류 중인 인증서 요청이 없으면 메시지가 표시됩니다. 그렇지 않으면 확인하려는 인증서 요청을 선택하고 다음을 클릭합니다.
보류 중인 인증서 요청을 확인합니다. 다음과 같은 경우 아래와 같이 합니다.
여전히 보류 중이면 CA 관리자가 인증서를 발급할 때까지 기다려야 합니다. 인증서 요청을 제거하려면 제거를 클릭합니다.
발급된 경우 인증서를 설치할 수 있습니다. 이 인증서 설치를 클릭합니다.
거부된 경우 이유를 조사한 다음 적절한 후속 단계(있는 경우)를 결정해야 합니다.
마치면 Internet Explorer를 닫습니다.

추가 정보

인증서 요청 처리가 제대로 작동하는지 확인하려면:

시작을 클릭하고 certmgr.msc를 입력한 다음 Enter 키를 누릅니다.
사용자 계정 컨트롤 대화 상자가 나타나면 표시되는 작업이 원하는 작업인지 확인한 다음 계속을 클릭합니다.
콘솔 트리에서 개인을 두 번 클릭한 다음 인증서를 클릭합니다.
작업 메뉴에서 모든 작업을 가리킨 후 새 인증서 요청을 클릭하여 인증서 등록 마법사를 시작합니다.
마법사를 사용하면 사용 가능한 모든 유형의 인증서에 대한 인증서 요청을 만들고 제출할 수 있습니다.
인증서 설치 결과에서 등록이 성공적으로 완료되었고 보고된 오류가 없는지 확인합니다. 또한 세부 정보를 클릭하면 인증서에 대한 자세한 내용을 볼 수 있습니다.

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.2016

Category

EventCollection

Enabled

True

Event_ID

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

AD CS 인증서 요청(등록) 처리 - 데이터 길이 때문에 요청 실패

이벤트 설명: {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.23" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">23</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageIDa6158a00175248879165de9809c62f70"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>