Regra de Coleta para evento com Autoridade de Certificação e ID 48

Microsoft.Windows.CertificateServices.CARole.6.2.CertSvcEvents.48 (Rule)

A revogação não pode ser verificada

Knowledge Base article:

Resumo

A validação da cadeia ou do caminho é o processo pelo qual os certificados da entidade final (usuário ou computador) e todos os certificados da autoridade de certificação (AC) são processados hierarquicamente até que a cadeia de certificado termine em um certificado autoassinado confiável. Normalmente, é um certificado de AC raiz. A inicialização dos Serviços de Certificado do Active Directory (AD CS) pode falhar se houver problemas com disponibilidade, validade e validação da cadeia para o certificado da AC.

Resoluções

Carregue e confirme um certificado e cadeia de AC válidos.

Você precisa confirmar que um certificado de uma autoridade de certificação (AC) válida está acessível para a validação da cadeia de certificado ocorrer. Você pode resolver problemas associados a localizar um certificado de AC válido confirmando que:

Um certificado de AC válido está disponível no computador hospedando a AC;
Existe um certificado válido de AC no contêiner AIA.
A cadeia de certificado da AC pode ser validada.
Se uma lista de revogação de certificado (CRL) para uma AC na cadeia tiver expirado, uma nova CRL é gerada.

Para executar esses procedimentos, você deve ter uma permissão de Gerenciar AC ou ter recebido a devida autoridade.

Confirme que existe um certificado de AC válido no computador hospedando a AC

Para confirmar que um certificado de AC válido está disponível no computador hospedando a AC:

Clique em Iniciar, digite mmc e pressione ENTER.
Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme a ação exibida e clique em Continuar.
No menu Arquivo, clique em Adicionar/Remover Snap-in, clique em Certificados e depois clique em Adicionar.
Clique em Conta do computador e clique em Avançar.
Clique em Concluir e depois clique em OK.
Na árvore do console, clique em Certificados (Computador Local) e depois em Pessoal.
Confirme que existe um certificado de AC não expirado nesse armazenamento.

Confirme que existe um certificado válido de AC no contêiner AIA.

Para confirmar que existe um certificado válido de AC no contêiner AIA:

Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Sites e Serviços do Active Directory.
Clique em Sites e Serviços do Active Directory [nome de domínio].
No menu Visualizar, clique em Mostrar Nó de Serviços.
Clique duas vezes em Services, Public Key Services e AIA.
Confirme que existe um certificado de AC não expirado no contêiner AIA.

Valide a cadeia de certificado de AC.

Para validar a cadeia de certificado de AC:

Abra uma janela de prompt de comando.
Digite certutil -urlfetch -verify no certificado de AC e pressione ENTER.
Confirme que o contêiner AIA e os locais da rede de ponto de distribuição da CRL estão disponíveis, que todos os certificados na cadeia são válidos e não revogados e que CRLs válidos estão disponíveis.
Se os locais do ponto de distribuição CRL ou AIA não estiverem disponíveis, identifique e solucione o problema que os está impedindo de serem acessados.
Se quaisquer certificados na cadeia tiverem expirado ou sido revogados, renove esses certificados. Se o certificada de AC precisar ser reemitido, todos os certificados sob esse certificado na cadeia precisarão ser reemitidos.
Se a CRL para uma AC na cadeia tiver expirado, gere novas CRLs de base e delta nessa AC e copie para os locais requeridos.
Se a AC estiver offline, você pode precisar reiniciá-la.

Verifique e publique CRLs

Para verificar e, se necessário, publicar novas CRLs:

Na AC que está na fonte do problema, verifique a CRL publicada atual, que, por padrão, é criada na pasta %windir%\System32\CertSrv\CertEnroll.
Se as CRLs que atualmente estão nesse local tiverem expirado ou forem inválidas, abra uma janela de prompt de comando, digite certutil -CRL e pressione ENTER para publicar uma nova CRL.

Para gerar novas CRLs de base e delta:

No computador que hospeda a AC, clique em Iniciar, aponte para Ferramentas Administrativas e, em seguida, selecione Autoridade de Certificação.
Na árvore de console, clique em Certificados Revogados.
No menu Ação, aponte para Todas as Tarefas e clique em Publicar.
Selecione Nova CRL para substituir a CRL publicada anteriormente ou selecione CRL Delta para publicar somente uma CRL delta atual.

Para criar uma CRL usando a ferramenta de linha de comando Certutil:

No computador hospedando a AC, clique em Iniciar, digite cmd e pressione ENTER.
Digite certutil -CRL e pressione ENTER.

Para publicar as CRLs no AD DS usando a ferramenta de linha de comando Certutil:

Abra uma janela de prompt de comando.
Digite certutil -dspublish "<crlname.crl>" ldap:///CN=<CA name>,CN=<CA hostname>,CN=CDP,CN=Public Key Services,CN=Ser vices,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint e pressione ENTER.

Substitua crlname.crl pelo nome do seu arquivo de CRL, nome da AC e nome de host da AC pelo nome da AC e o nome do host em que a AC executa, e contoso e com pelo namespace do domínio do Active Directory.

Adicional

Para confirmar que o certificado da autoridade de certificação (AC) e a cadeia são válidos:

No computador hospedando a AC, clique em Iniciar, digite mmc e pressione ENTER.
Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme a ação exibida e clique em Continuar.
No menu Arquivo, clique em Adicionar/Remover Snap-in, clique em Certificados e depois clique em Adicionar.
Clique em Conta do computador e clique em Avançar.
Clique em Concluir e depois clique em OK.
Na árvore do console, clique em Certificados (Computador Local) e depois em Pessoal.
Confirme que existe um certificado de AC não expirado nesse armazenamento.
Clique com o botão direito nesse certificado e selecione Exportar para iniciar o Assistente de Exportação de Certificado.
Exporte o certificado para um arquivo chamado Cert.cer.
Digite Iniciar, cmd e pressione ENTER.
Digite certutil -urlfetch -verify <cert.cer> e pressione ENTER.
Se nenhuma validação, construção de cadeia ou erros de verificação de revogação forem relatados, a cadeia é válida.

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.6.2

Category

EventCollection

Enabled

True

Event_ID

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

Validação de Cadeia e Certificado da Autoridade de Certificação AD CS

Descrição do Evento: {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.2.CertSvcEvents.48" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.2" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">48</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageIDd13dac2d6ac94865acec24b7e96ddef5"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>