Verzamelingsregel voor gebeurtenis met als bron certificeringsinstantie en id 58 (fout)

Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.58_Error (Rule)

Er is een certificaat in de keten voor het CA-certificaat verlopen.

Knowledge Base article:

Samenvatting

Bij de validatie van de keten of het pad worden de eindentiteitcertificaten (gebruiker of computer) en alle certificaten van de certificeringsinstantie (CA) hiërarchisch verwerkt totdat de certificaatketen wordt beëindigd bij een vertrouwd, zelfondertekend certificaat. Standaard is dit een basis-CA-certificaat. Active Directory Certificate Services (AD CS) kan mogelijk niet worden gestart als er problemen zijn met de beschikbaarheid, de geldigheid en de validatie van de keten van het CA-certificaat.

Oplossingen

Certificaten in de keten opnieuw verlenen voor een verlopen CA-certificaat

Het certificaat van de certificeringsinstantie (CA) dat is verlopen, wordt in het gebeurtenislogboek vermeld. Dit probleem oplossen:

Controleer of het certificaat is verlopen.
Controleer de certificaatketen.
Als het probleem blijft bestaan, schakelt u CryptoAPI 2.0 Diagnostics in, lost u aanwezige problemen op en verleent en installeert u de verlopen certificaten opnieuw.

U moet de machtiging CA beheren hebben of aan u moet de juiste bevoegdheid zijn gedelegeerd om deze procedures te kunnen uitvoeren.

Controleren of een CA-certificaat is verlopen

Ga als volgt te werk om te controleren of een CA-certificaat is verlopen:

Klik op de computer die als host van de CA optreedt, op Start, wijs Systeembeheer aan en klik op Certificeringsinstantie.
Klik met de rechtermuisknop op het CA-knooppunt en klik op Eigenschappen.
Verlopen certificaten worden in de lijst met CA-certificaten aangegeven met het woord (verlopen). Als alle CA-certificaten zijn verlopen, moet u niet alleen het CA-certificaat vernieuwen, maar ook alle certificaten onder het verlopen CA-certificaat.
Als u het CA-certificaat moet vernieuwen, klikt u op het CA-knooppunt, wijst u Alle taken aan en klikt u op CA-certificaat vernieuwen.
Nadat het CA-certificaat is vernieuwd, start u de CA opnieuw.
Als er certificaten in de lijst voorkomen die niet zijn verlopen, zoekt u het certificaat op waarvan het CA-versienummer overeenkomt met de sleutel-id in het foutbericht. Als de sleutel-id bijvoorbeeld 2 is, is het certificaat met CA-versie 2.1 of 2.2 het juiste certificaat.
Controleer op problemen met de certificaatketen als dit certificaat niet is verlopen. Exporteer het certificaat naar een bestand en open vervolgens een venster met een opdrachtregel, typ certutil -urlfetch -verify<CAcert.cer> en druk op ENTER. (Vervang CAcert.cer door de naam van het certificaatbestand.)

CryptoAPI 2.0 Diagnostics inschakelen

U schakelt CryptoAPI 2.0 Diagnostics als volgt in:

Klik op de computer die als host van de CA optreedt op Start, wijs Systeembeheer aan en klik op Logboeken.
Vouw in de consolestructuur achtereenvolgens Logboeken, Logboeken Toepassingen en Services, Microsoft, Windows en CAP12 uit.
Klik met de rechtermuisknop op Operationeel en klik op Logboek inschakelen.
Klik op Start, wijs Systeembeheer aan en klik op Services.
Klik met de rechtermuisknop op Active Directory Certificate Services en klik op Opnieuw starten.

Aanvullend

Controleer als volgt of het certificaat en de keten van de certificeringsinstantie (CA) geldig zijn:

Klik op de computer die als host van de CA optreedt, op Start, typ mmc en druk op ENTER.
Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, controleert u of de gewenste actie wordt weergegeven en klikt u op Doorgaan.
Klik in het menu Bestand op Module toevoegen/verwijderen, klik op Certificaten en klik vervolgens op Toevoegen.
Klik op Computeraccount en klik op Volgende.
Klik op Voltooien en klik vervolgens op OK.
Klik in de consolestructuur op Certificaten (lokale computer) en klik vervolgens op Persoonlijk.
Controleer of er in dit archief een CA-certificaat voorkomt dat niet is verlopen.
Klik met de rechtermuisknop op dit certificaat en selecteer Exporteren om de wizard Certificaat exporteren te starten.
Exporteer het certificaat naar een bestand met de naam Cert.cer.
Typ Start, cmd en druk op ENTER.
Typ certutil -urlfetch -verify <cert.cer> en druk op ENTER.
Als er geen fouten met betrekking tot de validatie, het maken van ketens of de intrekkingscontrole worden gerapporteerd, is de keten geldig.

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.2016

Category

EventCollection

Enabled

True

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

AD CS: validatie van CA-certificaat en certificaatketen - certificaat in CA-keten is verlopen

Beschrijving van gebeurtenis: {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.58_Error" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <And>

              <Expression>

                <SimpleExpression>

                  <ValueExpression>

                    <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

                  </ValueExpression>

                  <Operator>Equal</Operator>

                  <ValueExpression>

                    <Value Type="UnsignedInteger">58</Value>

                  </ValueExpression>

                </SimpleExpression>

              </Expression>

              <Expression>

                <SimpleExpression>

                  <ValueExpression>

                    <XPathQuery Type="Integer">EventLevel</XPathQuery>

                  </ValueExpression>

                  <Operator>Equal</Operator>

                  <ValueExpression>

                    <Value Type="Integer">1</Value>

                  </ValueExpression>

                </SimpleExpression>

              </Expression>

            </And>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageIDa56c8730d300410882edc1f355f85f5d"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>