Regra de Coleta para evento com CertificationAuthority e ID 51

Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.51 (Rule)

Um certificado na cadeia para o certificado da Autoridade de Certificação foi revogado.

Knowledge Base article:

Resumo

A validação da cadeia ou do caminho é o processo pelo qual os certificados da entidade final (usuário ou computador) e todos os certificados da autoridade de certificação (AC) são processados hierarquicamente até que a cadeia de certificado termine em um certificado autoassinado confiável. Normalmente, é um certificado de AC raiz. A inicialização dos Serviços de Certificados do Active Directory (AD CS) pode falhar se houver problemas com disponibilidade, validade e validação da cadeia para o certificado da AC.

Resoluções

Reemita certificados na cadeia para um certificado de AC revogado

Embora não seja comum um certificado de uma autoridade de certificação (AC) ser revogado. Para solucionar essa situação:

Confirme que o certificado da AC foi revogado.
Pergunte a um administrador da AC se a revogação foi deliberada ou não intencional. Se a certificação tiver sido intencionalmente revogada, mais nenhuma ação é necessária.
Se tiver sido revogada não intencionalmente, o certificado da AC e todos os certificados na ramificação devem ser reemitidos por meio de registro ou registro automático.
Se o problema persistir, habilite CryptoAPI 2.0 Diagnostics para identificar e resolver erros adicionais que possam estar causando o problema.

Para executar esses procedimentos, você deve ter uma permissão de Gerenciar AC ou ter recebido a devida autoridade.

Confirme que o Certificado de Autoridade de Certificação foi revogado

Para confirmar que o Certificado de Autoridade de Certificação foi revogado:

Abra uma janela de prompt de comando.
Digite certutil -urlfetch -verify<CAcert.cer> e pressione ENTER.

Substitua CAcert.cer pelo nome do arquivo de certificado da AC.

Para inscrever-se para um Certificado de Autoridade de Certificação

Para inscrever-se para um Certificado de Autoridade de Certificação:

No computador que hospeda a AC, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Clique com o botão direito no nome da AC, selecione Todas as Tarefas e clique em Solicitar Certificado de Autoridade de Certificação.
Selecione o arquivo de solicitação e o nome da AC ou o computador hospedando uma AC pai para processar a solicitação e concluir o registro.
Depois de o certificado da AC ter sido instalado, você precisará reemitir todos os certificados que foram emitidos usando o certificado de autoridade de certificação revogado.

Habilitar o CryptoAPI 2.0 Diagnostics

Para habilitar o CryptoAPI 2.0 Diagnostics:

No computador que hospeda a AC, clique em Iniciar, aponte para Ferramentas Administrativas e, em seguida, clique em Visualizador de Eventos.
Na árvore do console, expanda Visualizador de Eventos, Logs de Aplicativos e Serviços, Microsoft, Windows, e CAPI2.
Clique com o botão direito do mouse em Operacional e depois em Habilitar Log.
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Serviços.
Clique com o botão direito em Serviços de Certificados do Active Directory e clique em Reiniciar.
Verifique o log de diagnóstico CAPI2 para obter informações relativas a esse erro.

Adicional

Para confirmar que o certificado da autoridade de certificação (AC) e a cadeia são válidos:

No computador hospedando a AC, clique em Iniciar, digite mmc e pressione ENTER.
Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme se a ação exibida é a opção que deseja usar e clique em Continuar.
No menu Arquivo, clique em Adicionar/Remover Snap-in, clique em Certificados e depois clique em Adicionar.
Clique em Conta do computador e clique em Avançar.
Clique em Concluir e depois clique em OK.
Na árvore do console, clique em Certificados (Computador Local) e depois em Pessoal.
Confirme que existe um certificado de AC não expirado nesse armazenamento.
Clique com o botão direito nesse certificado e selecione Exportar para iniciar o Assistente de Exportação de Certificado.
Exporte o certificado para um arquivo chamado Cert.cer.
Digite Iniciar, cmd e pressione ENTER.
Digite certutil -urlfetch -verify <cert.cer> e pressione ENTER.
Se nenhuma validação, construção de cadeia ou erros de verificação de revogação forem relatados, a cadeia é válida.

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.2016

Category

EventCollection

Enabled

True

Event_ID

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

Validação de cadeia e de certificado de autoridade de certificação do AD CS – Certificado revogado na cadeia de AC

Descrição do Evento: {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.51" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">51</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageIDec09b85c4b5c4b5c9753da70c2ab3dc7"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>