Règle de collecte pour événement avec CertificationAuthority de source et ID 66

Microsoft.Windows.CertificateServices.CARole.6.3.CertSvcEvents.66 (Rule)

Les services de certificats n'ont pas pu publier de liste de révocation de certificats.

Knowledge Base article:

Résumé

Fournir aux clients les informations dont ils ont besoin pour déterminer s'il faut faire confiance à un certificat est une des fonctions de sécurité les plus importantes d'une autorité de certification et d'une infrastructure à clé publique (PKI). Pour l'administrateur, ceci signifie qu'il faut révoquer rapidement des certificats non approuvés n'ayant pas atteint leur date d'expiration programmée et publier ces informations dans des listes de révocation de certificats. L'analyse et la correction de problèmes, associées à la publication de listes de révocation de certificats et à la disponibilité, sont un aspect critique de la sécurité PKI.

Résolutions

Activer AD CS pour publier une liste de révocation de certificats

Des résolutions possibles concernant ce message du journal des événements incluent :

Si le message du journal des événements spécifie un emplacement Active Directory ayant été formaté en tant qu'adresse de protocole LDAP, confirmez que l'autorité de certification a des autorisations d'écriture à cet emplacement. Pour cela, suivez la procédure de la section « Confirmer les autorisations des points de distribution de la liste de révocation de certificats Active Directory ».
Vérifiez la liste de contrôle d'accès à tous les emplacements de fichiers mentionnés dans le message du journal des événements pour confirmer que l'ordinateur de l'autorité de certification a des autorisations d'écriture à ces emplacements. Pour cela, suivez la procédure de la section « Confirmer les autorisations des points de distribution de la liste de révocation de certificats ».
Suivez la procédure de la section « Vérifier la connectivité réseau » pour vérifier la connectivité réseau entre l'autorité de certification et le contrôleur de domaine.
Après que des problèmes de réseau ou d'autorisation ont été résolus, utilisez la procédure de la section « Publier une nouvelle liste de révocation de certificats » pour publier une nouvelle liste de révocation de certificats.
Si vous ne pouvez toujours pas publier une nouvelle liste de révocation de certificats, confirmez que le point de distribution de la liste de révocation de certificats est valide en suivant la procédure de la section « Confirmer la validité des points de distribution de la liste de révocation de certificats ».

Pour effectuer ces procédures, vous devez avoir une autorisation de Gérer l'autorité de certification ou l’autorité appropriée doit vous avoir été déléguée.

Confirmer les autorisations des points de distribution de la liste de révocation de certificats Active Directory

Pour confirmer les autorisations des points de distribution de la liste de révocation de certificats Active Directory :

Sur un ordinateur où des outils de gestion Active Directory sont installés, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Sites et services Active Directory.
Dans le menu Affichage, cliquez sur Afficher le nœud des services.
Double-cliquez sur Services, puis sur Public Key Services.
Cliquez avec le bouton droit sur AIA et cliquez sur Propriétés.
Cliquez sur l'onglet Sécurité et confirmez que l'autorité de certification a une autorisation d'écriture pour cet emplacement.

Confirmer les autorisations des points de distribution de la liste de révocation de certificats d'emplacements de fichiers

Pour confirmer les autorisations des points de distribution de la liste de révocation de certificats d'emplacements de fichiers :

Cliquez sur Démarrer, entrez l'adresse de partage de fichier que vous utilisez pour publier des listes de révocation de certificats et appuyez sur ENTRÉE.
Cliquez avec le bouton droit sur le partage de fichier et cliquez sur Propriétés.
Cliquez sur l'onglet Sécurité et confirmez que l'autorité de certification a une autorisation d'écriture pour cet emplacement.

Vérifier la connectivité réseau

Pour déterminer si un problème de connectivité réseau est survenu entre l'autorité de certification et le contrôleur de domaine :

Ouvrez une fenêtre d'invite de commandes sur l'ordinateur hébergeant l'autorité de certification.
Entrez ping <server_FQDN>, où FQDN_serveur est le nom de domaine complet (FQDN) du contrôleur de domaine, et appuyez sur ENTRÉE. Si vous pouvez vous connecter au contrôleur de domaine, vous recevrez une réponse similaire à ce qui suit :

Réponse d'IP_address: octets = 32 temps = 3 ms TTL = 59

Réponse d'IP_address: octets = 32 temps = 20 ms TTL = 59

Réponse d'IP_address: octets = 32 temps = 3 ms TTL = 59

Réponse d'IP_address: octets = 32 temps = 6 ms TTL=59,3

À l'invite de commandes, tapez ping <IP_address>, où <IP_address> est l'adresse IP du contrôleur de domaine, et appuyez sur ENTRÉE.
Si vous parvenez à vous connecter au contrôleur de domaine par adresse IP, mais pas par nom de domaine complet (FQDN), il s'agit peut-être d'un problème de résolution du nom d'hôte du DNS.
Si vous ne parvenez pas à vous connecter au contrôleur de domaine par adresse IP, il s'agit probablement d'un problème de connectivité réseau. Vérifiez et résolvez les problèmes matériels tels qu'une carte réseau présentant un dysfonctionnement ou un câble réseau déconnecté, ainsi que des erreurs du journal des événements concernant la configuration du pare-feu ou la configuration de la sécurité du protocole Internet (IPsec).

Publier une nouvelle liste de révocation de certificats

Pour publier une nouvelle liste de révocation de certificats à l'aide du composant logiciel enfichable de l'autorité de certification :

Cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Autorité de certification.
Cliquez avec le bouton droit sur Certificats révoqués, pointez sur Toutes les tâches, puis cliquez sur Publier pour publier la nouvelle liste de révocation de certificats.

Pour publier une nouvelle liste de révocation de certificats avec l'outil en ligne de commande Certutil :

Ouvrez une fenêtre d’invite de commande.
Pour publier des listes de révocation de certificats vers tous les emplacements de publication de listes de révocation de certificats configurés, entrez certutil -CRL et appuyez sur ENTRÉE.
Pour publier une liste de révocation de certificats dans un emplacement Active Directory, entrez certutil -dspublish "<crlname.crl>" ldap:///CN=<CA name>,CN=<CA hostname>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint et appuyez sur ENTRÉE.

Remplacez crlname.crl par le nom de votre fichier de listes de révocation de certification, le nom de l'autorité de certification et le nom d'hôte de l'autorité de certification par votre nom d'autorité de certification, et le nom de l'hôte exécuté par l'autorité de certification ainsi que contoso et com par l'espace de noms de votre domaine Active Directory.

Confirmer la validité des points de distribution configurés de la liste de révocation de certificats

Pour confirmer la validité des points de distribution configurés de la liste de révocation de certificats :

Cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Autorité de certification.
Cliquez avec le bouton droit sur le nom de l'autorité de certification, puis sur Propriétés.
Cliquez sur l'onglet Extensions. Notez les emplacements des points de distribution de la liste de révocation de certificats pour lesquels la case à cocher Publier les listes de révocation de certificats est sélectionnée.

Vous pouvez également déterminer les URL des points de distribution configurés de la liste de révocation de certificats en ouvrant une fenêtre d'invite de commandes sur l'autorité de certification et en exécutant la commande suivante : certutil -getreg ca\crlpublicationurls.

Informations complémentaires

Pour confirmer que la publication de la liste de révocation de certificats fonctionne correctement, exécutez la procédure suivante sur un certificat (d'utilisateur ou d'ordinateur) d'entité de fin récemment émis :

Ouvrez une fenêtre d'invite de commandes sur un ordinateur connecté au réseau.
Entrez certutil -url <cert.cer> et appuyez sur ENTRÉE.

Remplacez <cert.cer> par le nom d'un fichier de certificat d'autorité de certification que vous avez créé en exportant un certificat à l'aide de l'Assistant Exportation de certificat.

Dans la boîte de dialogue qui s'affiche, sous Récupérer, cliquez sur les listes de révocation de certificats (depuis le CDP), puis sur Récupérer
Confirmez que l'état de tous les points de distribution de listes de révocation de certificats est répertorié en tant que Vérifié.

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.6.3

Category

EventCollection

Enabled

True

Event_ID

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

Publication de la liste de révocation de certificats AD CS

Description de l'événement : {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.3.CertSvcEvents.66" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.3" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">66</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageID6c8002bc89f54663ab6d88ca6fbd2570"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>