Verzamelingsregel voor gebeurtenis met als bron certificeringsinstantie en id 21

Microsoft.Windows.CertificateServices.CARole.6.2.CertSvcEvents.21 (Rule)

Certificate Services kan een aanvraag niet verwerken.

Knowledge Base article:

Samenvatting

Een van de belangrijkste functies van een certificeringsinstantie (CA) is het evalueren van certificaataanvragen van clients en, als wordt voldaan aan vooraf gedefinieerde criteria, het verlenen van certificaten aan die clients. Om de certificaatinschrijving te voltooien moet een aantal elementen zijn geïmplementeerd voordat de aanvraag kan worden ingediend, inclusief een CA met een geldig CA-certificaat; op de juiste manier geconfigureerde certificaatsjablonen, clientaccounts en certificaataanvragen; en een manier voor de client om de aanvraag bij de CA in te dienen, de aanvraag te laten valideren en het verleende certificaat te installeren.

Oplossingen

Problemen verhelpen die verhinderen dat certificaataanvragen worden verwerkt

Een aantal problemen kan verhinderen dat een certificaataanvraag wordt verwerkt. Als het gebeurtenislogboekbericht niet alle gegevens bevat die u nodig hebt om het probleem te verhelpen, kunt u de oorzaak van het probleem mogelijk ook achterhalen door andere fouten of waarschuwingen te bekijken die direct vooraf gaan aan of volgen op dit bericht.

Als u problemen wilt opsporen en oplossen die de verwerking van certificaataanvragen blokkeert, moet u:

De certificaatketen voor de certificeringsinstantie (CA) controleren.
Nieuwe certificaatintrekkingslijsten (CRL's) genereren en publiceren.
De geconfigureerde CRL-distributiepunten controleren.
Als u het probleem niet via deze stappen kunt oplossen, zoekt u op de CA in de wachtrij met de aanvragen die niet konden worden verwerkt naar informatie over de reden waarom de aanvraag niet kon worden verwerkt.

U moet de machtiging CA beheren hebben of aan u moet de juiste bevoegdheid zijn gedelegeerd om de volgende procedures te kunnen uitvoeren.

Controleer de certificaatketen voor de CA

Ga als volgt te werk om de keten voor de CA te valideren:

Klik op Start, typ mmc en druk op ENTER.
Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, bevestigt u dat de weergegeven actie juist is en klikt u op Doorgaan.
Klik in het menu Bestand op Module toevoegen/verwijderen, klik op Certificaten en klik vervolgens op Toevoegen.
Klik op Computeraccount en klik op Volgende.
Selecteer de computer die als host van de CA optreedt, klik op Voltooien en klik vervolgens op OK.
Selecteer elk CA-certificaat in de certificaatketen en klik op Certificaat weergeven.
Klik op het tabblad Details en klik op Kopiëren naar bestand om de wizard Certificaat exporteren te starten. Sla elk certificaat op met de extensie .cer.
Open een opdrachtregel en voer de volgende opdracht uit op ieder CA-certificaat: certutil -urlfetch -verify <CAcert.cer> en druk op ENTER. Vervang <CAcert.cer> door de naam van het bestand van een CA-certificaat dat u hebt opgeslagen in stap 7.
Gebruik dezelfde opdracht bij een certificaatbestand voor een eindentiteitcertificaat (gebruiker of computer) die door de CA is verleend om CRL's voor de CA zelf en de bijbehorende keten te controleren.
Problemen oplossen die worden vermeld in de uitvoer van de opdrachtregel.

Nieuwe CRL's genereren en publiceren

Als de uitvoer van de opdrachtregel aangeeft dat een CRL voor een CA is verlopen, genereert u nieuwe basis- en delta-CRL's voor de CA en kopieert u ze naar de vereiste locaties. Mogelijk moet u een CA die offline is, opnieuw starten om deze bewerking te kunnen uitvoeren.

Controleer op de CA de huidige gepubliceerde CRL. Standaard maakt de CA CRL's in de map %windir%\System32\CertSrv\CertEnroll. Als de CRL's die momenteel op deze locatie staan, zijn verlopen of ongeldig zijn, kunt u de volgende procedure gebruiken om een nieuwe CRL te publiceren.

Ga als volgt te werk om een nieuwe CRL te publiceren met de module Certificeringsinstantie:

Klik op de computer die als host van de CA optreedt, op Start, wijs Systeembeheer aan en klik op Certificeringsinstantie.
Selecteer de CA en vouw de mappen onder de naam van de CA uit.
Klik met de rechtermuisknop op de map Ingetrokken certificaten.
Klik op Alle taken en klik vervolgens op Publiceren.

U kunt CRL's ook genereren en publiceren vanaf de opdrachtprompt.

Ga als volgt te werk om een certificaatintrekkingslijst te publiceren met het opdrachtregelhulpprogramma Certutil:

Klik op de computer die als host van de CA optreedt, op Start, typ cmd en druk op ENTER.
Typ certutil -CRL en druk op ENTER.

Als wordt vastgesteld dat een CRL niet beschikbaar is, maar dat er een geldige CRL bestaat in de lokale map van de CA, moet u controleren of de CA verbinding kan maken met het CRL-distributiepunt en vervolgens de voorgaande stappen nemen om opnieuw CRL's te genereren en te publiceren.

CRL's kunnen handmatig naar Active Directory Domain Services (AD DS) worden gepubliceerd met de volgende opdracht:

certutil -dspublish"<crlname.crl>" ldap:///CN=<CA name>,CN=<CA hostname>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint

Vervang crlname.crl door de naam van uw CRL-bestand, <CA name> en <CA hostname> door uw CA-naam en de naam van de host waarop die CA wordt uitgevoerd, en <contoso> en <com> door de naamruimte van uw Active Directory-domein.

Geconfigureerde CRL-distributiepunten controleren

Controleer alle geconfigureerde CRL-distributiepunten om vast te stellen of de publicatie is voltooid en of er nieuwe CRL's beschikbaar zijn op het netwerk.

Ga als volgt te werk om de geconfigureerde CRL-distributiepunten te controleren met de module Certificeringsinstantie:

Klik op de computer die als host van de CA optreedt, op Start, wijs Systeembeheer aan en klik op Certificeringsinstantie.
Klik met de rechtermuisknop op de naam van de CA en klik op Eigenschappen.
Klik op het tabblad Extensies.
Bekijk de geconfigureerde CRL-distributiepunten om te controleren of de gegevens juist zijn.

Ga als volgt te werk om de URL's van de geconfigureerde CRL-distributiepunten te controleren met Certutil:

Open een opdrachtpromptvenster op de CA.
Typ de volgende opdracht: certutil -getreg ca\crlpublicationurls en druk op ENTER.

Controleer de wachtrij met mislukte aanvragen op de CA

Ga als volgt te werk om de wachtrij met mislukte aanvragen op de CA te controleren met de module Certificeringsinstantie:

Klik op de computer die als host van de CA optreedt, op Start, wijs Systeembeheer aan en klik op Certificeringsinstantie.
Klik op de map Mislukte aanvragen.
Zoek naar de mislukte aanvragen die zijn ingediend op of rond de tijd van de gebeurtenis en controleer de kolommen Bericht over status aanvraag, Statuscode van aanvraag en Naam van aanvrager op extra diagnostische gegevens.

Controleer als volgt mislukte aanvragen met Certutil:

Klik op de computer die als host van de CA optreedt, op Start, typ cmd en druk op ENTER.
Typ certutil -view LogFail en druk op ENTER.
Typ certutil -view -restrict requestID="<nnn>" en druk op ENTER. Vervang <nnn> door de aanvraag-id van een van de mislukte aanvragen in de uitvoer van de opdracht LogFail.

Aanvullend

Controleer als volgt of de verwerking van de certificaataanvraag goed functioneert:

Klik op Start, typ certmgr.msc en druk vervolgens op ENTER.
Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, controleert u of de juiste actie wordt weergegeven en klikt u vervolgens op Doorgaan.
Dubbelklik in de consolestructuur op Persoonlijk en klik vervolgens op Certificaten.
Wijs in het menu Actie de optie Alle taken aan en klik op Nieuw certificaat aanvragen om de wizard Certificaat inschrijven te starten.
Gebruik de wizard om een certificaataanvraag te maken en in te dienen voor alle typen certificaten die beschikbaar zijn.
Controleer onder Resultaten van certificaatinstallatie of de inschrijving wordt voltooid en of er geen fouten worden gerapporteerd. U kunt ook op Details klikken om extra gegevens over het certificaat weer te geven.

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.6.2

Category

EventCollection

Enabled

True

Event_ID

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

AD CS: verwerking van certificaataanvraag (inschrijving)

Beschrijving van gebeurtenis: {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.2.CertSvcEvents.21" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.2" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">21</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageID42b3cc830b884161b292de001ad930e4"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>