具有源 CertificationAuthority 和 ID 81 的事件的收集规则 - Microsoft.Windows.CertificateServices.CARole.6.3.CertSvcEvents.81 (Rule) (CHS)

Microsoft.Windows.CertificateServices.CARole.6.3.CertSvcEvents.81 (Rule)

该版本的 Windows Server 不支持证书服务密钥存档。

Knowledge Base article:

摘要

Active Directory 证书服务 (AD CS) 需要 key recovery agent 证书、交换 (XCHG) 证书和密钥才能支持密钥存档。对于公钥基础设施而言，key recovery agent 证书、XCHG 证书以及创建这些证书所需的加密服务提供程序 (CSP) 是否正常工作至关重要。

解决方案

请使用支持 AD CS 密钥存档的 Windows Server 2008 版本

密钥存档仅供安装在运行 Windows Server 2008 Enterprise 操作系统或 Windows Server 2008 Datacenter 操作系统的计算机上的证书颁发机构使用。

确认使用的 CA 是否安装在运行 Windows Server 2008 Enterprise 或 Windows Server 2008 Datacenter 的计算机上。

要确认 Windows 版本，请执行以下操作：

打开资源管理器窗口，右键单击“计算机”，然后单击“属性”。
在标题为“Windows 版本”的部分，确认是否列出了一个支持密钥存档的版本。

其他

要确认密钥存档和恢复是否正常，请执行以下操作：

在托管 CA 的计算机上，单击“开始”，指向“管理工具”，然后单击“证书颁发机构”。
在控制台树中，右键单击证书颁发机构 (CA)，然后单击“属性”。
单击“恢复代理”选项卡。
确认列出的所有 key recovery agent 证书均“有效”。
在证书模板容器中，确认已在“请求处理”选项卡中为加密证书配置了“把使用者的加密私钥存档” 选项。
打开一个用户帐户的“证书”管理单元，该用户帐户需具有根据此证书模板注册证书的权限。
在控制台树中，右键单击“个人”，指向“所有任务”，然后单击“申请新证书”，以启动“证书注册”向导。
根据加密模板注册一个证书，然后确认注册是否成功完成且没有报错。
注册完成后，打开“证书颁发机构”管理单元。
在控制台树中，单击“颁发的证书”。
找到刚才颁发的证书条目，然后将“存档的密钥”列添加到管理单元显示列表中。
确认“是”一字显示在刚才颁发的证书的“存档的密钥”列中。

Element properties:

Target	Microsoft.Windows.CertificateServices.CARole.6.3
Category	EventCollection
Enabled	True
Event_ID	81
Event Source	Microsoft-Windows-CertificationAuthority
Alert Generate	False
Remotable	True
Event Log	Application

Member Modules:

ID Module Type TypeId RunAs
DS DataSource Microsoft.Windows.EventProvider Default
WriteToCertSvcEvents WriteAction Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher Default
WriteToDB WriteAction Microsoft.SystemCenter.CollectEvent Default
Source Code:
<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.3.CertSvcEvents.81" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.3" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100"> <Category>EventCollection</Category> <DataSources> <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider"> <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName> <LogName>Application</LogName> <Expression> <And> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value Type="UnsignedInteger">81</Value> </ValueExpression> </SimpleExpression> </Expression> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery Type="String">PublisherName</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value Type="String">Microsoft-Windows-CertificationAuthority</Value> </ValueExpression> </SimpleExpression> </Expression> </And> </Expression> </DataSource> </DataSources> <WriteActions> <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/> <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/> </WriteActions> </Rule>

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default