Home
  •  

具有源 CertificationAuthority 和 ID 130 的事件的收集规则

Microsoft.Windows.CertificateServices.CARole.6.3.CertSvcEvents.130 (Rule)

证书服务无法创建证书吊销列表 (CRL)。

Knowledge Base article:

摘要

证书颁发机构 (CA) 和公钥基础结构 (PKI) 最重要的安全功能之一是向客户端提供用于确定是否应该信任某个证书的信息。此时管理员需要迅速吊销尚未达到计划到期日期的不受信任的证书,并在证书吊销列表 (CRL) 中发布此信息。监视并解决与 CRL 发布和可用性相关的问题是 PKI 安全的一个重要方面。

解决方案

创建证书吊销列表

Active Directory 证书服务 (AD CS) 无法创建证书吊销列表 (CRL),这样可能导致需要检查证书颁发机构 (CA) 所颁发证书的吊销状态的应用程序 (CA) 出现故障。

事件日志消息应包含关于 CRL 创建失败的更多具体信息。要更正此错误,请执行以下操作:

要执行此过程,您必须拥有管理 CA 的权限,或者您必须被委派了适当的权限。

创建 CRL

要使用证书颁发机构管理单元手动创建 CRL,请执行以下操作:

要使用 Certutil 命令行工具手动创建 CRL,请执行以下操作:

如果手动创建 CRL的尝试失败,请在证书颁发机构管理单元中选择 CA 的名称,然后单击“重新启动”。然后重新尝试创建 CRL。

其他

要确认证书吊销列表 (CRL) 发布过程是否正常,请对最近颁发的最终实体(用户或计算机)证书执行以下操作:

通过使用“证书导出向导”导出证书所创建的证书文件的名称替换 <cert.cer>。

Element properties:

TargetMicrosoft.Windows.CertificateServices.CARole.6.3
CategoryEventCollection
EnabledTrue
Event_ID130
Event SourceMicrosoft-Windows-CertificationAuthority
Alert GenerateTrue
Alert SeverityError
Alert PriorityHigh
RemotableTrue
Alert Message
AD CS 证书吊销列表 (CRL) 发布
事件描述:{0}
Event LogApplication

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.EventProvider Default
Alert WriteAction System.Health.GenerateAlert Default
WriteToCertSvcEvents WriteAction Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher Default
WriteToDB WriteAction Microsoft.SystemCenter.CollectEvent Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.3.CertSvcEvents.130" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.3" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">130</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageIDb3b9fe42f7824bf4af39db5341eb162d"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>