Мы работаем под управлением Windows 7 pro 64bit и используем сертификаты для аутентификации. Сертификаты хранятся в папке "Мой"Сертификационный магазин.
Проблема в том, что около 5%, если наша пользовательская база теряет свои сертификаты от одного дня к другому. Журнал событий Windows не предоставляет нам достаточно информации, чтобы мы могли даже начать разбираться в проблеме. Мы также не можем воспроизвести проблему прямо сейчас, это происходит примерно 1-2 раза в месяц для любого из этих 5% нашей пользовательской базы - у остальных 95% никогда не было этой проблемы.
Есть ли способ записать, какая программа обращается к хранилищу сертификатов и что она там изменяет? Я пробовал это с CAPI2 log включен, но он записывает запись в журнал, когда сертификат удаляется / исчезает, он просто регистрируется, когда вставляется новый.
Первым шагом для меня было бы воспроизвести проблему, а затем попытаться ее решить. На данный момент я немного потерялся, потому что не знаю, с чего начать. Насколько я могу судить, корреляции между пользователями нет.
Любая помощь или советы приветствуются, спасибо!
Начиная с Windows 8 / Server 2012 появились новые журналы событий для отслеживания изменений в хранилищах сертификатов:
Microsoft-Windows-CertificateServicesClient-Lifecycle-User/Operational
Microsoft-Windows-CertificateServicesClient-Lifecycle-System/Operational
Больше информации на TechNet
К сожалению, они недоступны в Windows 7.
Что вы можете попробовать, так это контролировать доступ к файлам закрытых ключей, они находятся в:
%USERPROFILE%\AppData\Roaming\Microsoft\Crypto\RSA\[UserA’s SID]\
Вы можете включить аудит для этого каталога, я давно этого не делал, но он может дать вам некоторые подсказки о том, что происходит.