Regra de Recolha para evento com origem CertificationAuthority e ID 48

Microsoft.Windows.CertificateServices.CARole.6.2.CertSvcEvents.48 (Rule)

A revogação não pode ser verificada

Knowledge Base article:

Resumo

A validação da cadeia ou do caminho é o processo pelo qual os certificados da entidade final (utilizador ou computador) e todos os certificados da autoridade de certificação (AC) são processados hierarquicamente até a cadeia de certificados terminar num certificado fidedigno, autoassinado. Tipicamente, isto é um certificado de AC de raiz. O arranque dos Serviços de Certificados do Active Directory (AD CS) pode falhar se houver problemas de disponibilidade, validade e validação da cadeia para o certificado de AC.

Resoluções

Carregar e confirmar um certificado de AC válido e uma cadeia de certificados válida

Tem de confirmar que um certificado da autoridade de certificação (AC) válido está acessível para a validação da cadeia de certificados poder ter lugar. Pode resolver problemas associados à localização de um certificado de AC válido confirmando o seguinte:

Existe um certificado de AC válido disponível no computador de alojamento da AC.
Existe um certificado de AC válido no contentor AIA.
A cadeia de certificados da AC pode ser validada.
Se uma lista de revogação de certificados (CRL) de uma AC na cadeia expirar, é gerada uma CRL nova.

Estes procedimentos exigem que tenha permissão para gerir AC ou que lhe tenha sido delegado o nível de autoridade apropriado.

Confirmar se existe um certificado de AC válido no computador de alojamento da AC

Para confirmar se há um certificado de AC válido disponível no computador de alojamento da AC:

Clique em Iniciar, escreva mmc e prima ENTER.
Se for apresentada a caixa de diálogo do Controlo de Conta de Utilizador, confirme se a ação apresentada é a que pretende e clique em Continuar.
No menu Ficheiro, clique em Adicionar/Remover Snap-in, clique em Certificados e clique em Adicionar.
Clique em Conta de computador e clique em Seguinte.
Clique em Concluir e de seguida clique em OK.
Na árvore da consola, clique em Certificados (Computador Local) e clique em Pessoal.
Confirme se neste arquivo existe um certificado de AC que não expirou.

Confirmar se existe um certificado de AC válido no contentor AIA

Para confirmar se existe um certificado de AC válido no contentor AIA:

Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Serviços e Locais do Active Directory.
Clique em [nomedomínio] Serviços e Locais do Active Directory.
No menu Ver, clique em Mostrar nó "Serviços".
Faça duplo clique em Serviços, duplo clique em Serviços de Chave Pública e clique em AIA.
Confirme se no contentor AIA existe um certificado de AC que não tenha expirado.

Validar a cadeia de certificados de AC

Para validar a cadeia de certificados de AC:

Abra uma janela da linha de comandos.
Escreva certutil -urlfetch -verify no certificado de AC e prima ENTER.
Confirme se as localizações na rede dos pontos de distribuição do contentor AIA e da CRL estão disponíveis, se todos os certificados da cadeia são válidos e não foram revogados e se existem CRLs válidas disponíveis.
Se as localizações dos pontos de distribuição de AIA ou CRL não estiverem disponíveis, identifique e resolva o problema que está a impedir o acesso a estas.
Se algum dos certificados na cadeia expirou ou foi revogado, renove estes certificados. Se for necessário reemitir um certificado de AC, todos os certificados sob este certificado na cadeia terão de ser reemitidos.
Se uma CRL de uma AC na cadeia expirar, gere CRLs base e delta novas nesta AC e copie-as para as localizações pretendidas.
Se a AC estiver offline, poderá ter de reiniciá-la.

Verificar e publicar CRLs

Para verificar e, caso necessário, publicar CRLs novas:

Na AC que é a origem do problema, verifique a CRL publicada atual, que por predefinição é criada na pasta %windir%\System32\CertSrv\CertEnroll.
Se as CRLs presentemente nesta localização tiverem expirado ou forem inválidas, abra uma janela de linha de comandos, escreva certutil -CRL e prima ENTER para publicar uma CRL nova.

Para gerar as novas CRLs base e delta:

No computador que aloja a AC, clique em Iniciar, aponte para Ferramentas Administrativas e selecione Autoridade de Certificação.
Na árvore da consola, clique em Certificados Revogados.
No menu Ação, aponte para Todas as Tarefas e clique em Publicar.
Selecione Novo CRL para substituir a CRL publicada anteriormente ou selecione CRL Delta só para publicar uma CRL delta atual.

Para criar uma CRL utilizando a ferramenta de linha de comandos Certutil:

No computador que aloja a AC, clique em Iniciar, escreva cmd e prima ENTER.
Escreva certutil -CRL e prima ENTER.

Para publicar CRLs nos AD DS utilizando a ferramenta de linha de comandos Certutil:

Abra uma janela da linha de comandos.
Escreva certutil -dspublish "<crlname.crl>" ldap:///CN=<CA name>,CN=<CA hostname>,CN=CDP,CN=Public Key Services,CN=Ser vices,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint e prima ENTER.

Substitua crlname.crl pelo nome do seu ficheiro CRL, o nome da AC e o nome de anfitrião da AC pelo seu nome da AC e o nome do anfitrião onde essa AC é executada, e "contoso" e "com" pelo espaço de nomes do seu domínio do Active Directory.

Adicional

Para confirmar se o certificado e a cadeia da autoridade de certificação (AC) são válidos:

No computador que aloja a AC, clique em Iniciar, escreva mmc e prima ENTER.
Se for apresentada a caixa de diálogo do Controlo de Conta de Utilizador, confirme se a ação apresentada é a que pretende e clique em Continuar.
No menu Ficheiro, clique em Adicionar/Remover Snap-in, clique em Certificados e clique em Adicionar.
Clique em Conta de computador e clique em Seguinte.
Clique em Concluir e de seguida clique em OK.
Na árvore da consola, clique em Certificados (Computador Local) e clique em Pessoal.
Confirme se neste arquivo existe um certificado de AC que não expirou.
Clique com o botão direito do rato neste certificado e selecione Exportar para lançar o Assistente Para Exportar Certificados.
Exporte o certificado para um ficheiro de nome Cert.cer.
Escreva Iniciar, cmd e prima ENTER.
Escreva certutil -urlfetch -verify <cert.cer> e prima ENTER.
Se não forem reportados erros de validação, de criação de cadeia ou de verificação de revogação, a cadeia é válida.

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.6.2

Category

EventCollection

Enabled

True

Event_ID

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

Validação da Cadeia e do Certificado da Autoridade de Certificação AD CS

Descrição do Evento: {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.2.CertSvcEvents.48" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.2" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">48</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageIDd13dac2d6ac94865acec24b7e96ddef5"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>