Insamlingsregel för händelse med källan CertificationAuthority och ID 74

Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.74 (Rule)

Certifikattjänster kunde inte publicera en certifikatåterkallningslista (CRL).

Knowledge Base article:

Sammanfattning

Att tillhandahålla klienterna med den information de behöver för att avgöra om de ska lita på ett certifikat är en av de viktigaste säkerhetsfunktionerna för en certifikatutfärdare och public key infrastructure (PKI). För administratören innebär det att obetrodda certifikat som inte har nått planerat utgångsdatum måste återkallas omedelbart och informationen måste publiceras på certifikatåterkallningslistorna. En viktig aspekt av PKI-säkerhet är övervakande och åtgärdande av problem med CRL-publicering och -tillgänglighet.

Lösningar

Aktivera AD CS för att publicera en certifikatåterkallningslista

Möjliga lösningar för det här händelseloggmeddelandet inkluderar:

Om händelseloggmeddelandet anger en Active Directory-plats som har formaterats som en LDAP-adress (Lightweight Directory Access Protocol) bekräftar du att certifikatutfärdaren har skrivbehörigheter för denna plats. Gör detta genom att följa proceduren i avsnittet Bekräfta behörigheter för Active Directory CRL-distributionspunkter.
Kontrollera åtkomstkontrollistan på alla filplatser som omtalas i händelseloggmeddelandet för att bekräfta att CA-datorn har skrivbehörigheter för dessa platser. Gör detta genom att följa proceduren i avsnittet Bekräfta behörigheter för CRL-distributionspunkter.
Följ proceduren i avsnittet Kontrollera nätverksanslutning för att kontrollera nätverksanslutningen mellan certifikatutfärdaren och domänkontrollanten.
När alla eventuella nätverks- eller behörighetsproblem har lösts använder du proceduren i avsnittet Publicera en ny CRL för att publicera en ny CRL.
Om du fortfarande inte kan publicera en ny CRL bekräftar du att CRL-distributionspunkten är giltig genom att följa proceduren i avsnittet Bekräfta giltigheten för konfigurerade CRL-distributionspunkter.

För att kunna utföra dessa procedurer måste du ha behörighet att hantera certifikatutfärdare, eller ha tilldelats lämplig auktoritet.

Bekräfta behörigheter för Active Directory CRL-distributionspunkter

Bekräfta behörigheter för Active Directory CRL-distributionspunkter:

Klicka på Start på en dator där Active Directory-hanteringsverktygen finns installerade, peka på Administrationsverktyg och klicka på Active Directory-platser och -tjänster.
Klicka på Visa noden Tjänster på Visa-menyn.
Dubbelklicka på Tjänster och dubbelklicka på Public Key Services.
Högerklicka på AIA och klicka på Egenskaper.
Klicka på fliken Säkerhet och bekräfta att certifikatutfärdaren har skrivbehörigheter för den här platsen.

Bekräfta behörigheter för filplatsens CRL-distributionspunkter

Bekräfta behörigheter för filplatsens CRL-distributionspunkter:

Klicka på Start, ange filresursadressen som du använder för att publicera CRL:er och tryck på RETUR.
Högerklicka på filresursen och klicka på Egenskaper.
Klicka på fliken Säkerhet och bekräfta att certifikatutfärdaren har skrivbehörigheter för den här platsen.

Kontrollera nätverksanslutningen

För att avgöra om det finns ett problem med nätverksanslutningen mellan certifikatutfärdaren och domänkontrollanten:

Öppna ett kommandotolkfönster på datorn som kör certifikatutfärdaren.
Skriv ping <server_FQDN> och tryck på RETUR, där server_FQDN är fullständigt kvalificerat domännamn (FQDN) för domänkontrollanten. Om du kan ansluta till domänkontrollanten, kommer du få ett svar som liknar följande:

Reply from IP_address: bytes=32 time=3ms TTL=59

Reply from IP_address: bytes=32 time=20ms TTL=59

Reply from IP_address: bytes=32 time=3ms TTL=59

Svar från IP_address: bytes=32 time=6ms TTL=59 3.

Skriv ping <IP_address> i kommandotolken, där <IP_address> är domänkontrollantens IP-address, och tryck sedan på RETUR.
Om det går att ansluta till domänkontrollanten via IP-adressen men inte via FQDN kan ett fel ha inträffat med matchningen av värdnamn för Domain Name System (DNS).
Om det inte går att ansluta till domänkontrollanten via IP-adress kan det vara problem med nätverksanslutningen. Sök efter och lös maskinvaruproblem, som ett nätverkskortfel eller en frånkopplad nätverkskabel, samt alla händelseloggfel som rör brandväggskonfigurationen för IPsec-konfigurationen.

Publicera en ny CRL

Publicera en ny CRL med snapin-modulen för certifikatutfärdare:

Klicka på Start, peka på Administrationsverktyg och klicka på Certifikatutfärdare.
Högerklicka på Återkallade certifikat, peka på Alla aktiviteter och klicka på Publicera för att publicera en ny CRL.

Publicera en ny CRL med Certutil-kommandoradsverktyget:

Öppna ett kommandotolkfönster.
Publicera listor över återkallade certifikat till alla konfigurerade CRL-publiceringsplatser genom att skriva certutil -CRL och tryck på RETUR.
Publicera en lista över återkallade certifikat direkt till en Active Directory-plats genom att skriva certutil -dspublish "<crlname.crl>" ldap:///CN=<CA name>,CN=<CA hostname>,CN=CDP,CN=Public Key Services,CN=Ser vices,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint och tryck på RETUR.

Ersätt crlname.crl med namnet på din CRL-fil, CA-namnet och CA-värdnamnet med ditt CA-namn och namnet på värden där CA:n körs, och contoso och com med namnområdena för Active Directory-domänen.

Bekräfta giltigheten för konfigurerade CRL-distributionspunkter

Bekräfta giltigheten för konfigurerade CRL-distributionspunkter:

Klicka på Start, peka på Administrationsverktyg och klicka på Certifikatutfärdare.
Högerklicka på namnet för certifikatutfärdaren (CA) och klicka på Egenskaper.
Klicka på fliken Tillägg. Notera vilka CRL-distributionspunktplatser som kryssrutan Publicera listor över återkallade certifikat till denna plats har markerats för.

Du kan också bestämma URL:erna för konfigurerade CRL-distributionspunkter genom att öppna ett kommandotolkfönster på certifikatutfärdaren och köra följande kommando: certutil -getreg ca\crlpublicationurls.

Ytterligare

Bekräfta att publicering av certifikatåterkallningslista fungerar korrekt genom att utföra följande procedur på ett nyligen utfärdat slutenhetscertifikat (användare eller dator):

Öppna ett kommandotolkfönster på en dator som är ansluten till nätverket.
Skriv certutil -url <cert.cer> och tryck på RETUR.

Ersätt <cert.cer> med namnet på certifikatfilen som du skapade genom att exportera ett certifikat med guiden Exportera certifikat.

Klicka på CRL:er (från CDP) och Hämta under Hämta i dialogrutan som visas.
Bekräfta att statusen för hämtade CRL-distributionspunkter visas som Verifierade.

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.2016

Category

EventCollection

Enabled

True

Event_ID

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

Publicering av AD CS-lista över återkallade certifikat (CRL) – det gick inte att publicera CRL – det gick inte att publicera CRL-värdinformation

Händelsebeskrivning: {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.74" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">74</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageID6b8ebfff6ff446a498e6af9faa3d5552"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>