Windowsには証明書ストアがあり、ユーザーと管理者(セットアップによって異なります)が変更を加えることができます。ルートCAの追加、CRLの変更などです。これは、システムセキュリティの非常に重要な場所のようです。だから私は質問に来ます:
証明書ストアへの変更を標準のログ機能であるEventLogに記録するようにWindowsを設定できますか?
これまでは、CertificateServicesClient-Lifecycle
ログから証明書が削除されましたイベント(ID 1004)しか取得できませんでしたが、証明書が追加されましたなどは何もありません。
更新:Windows Server 2012 R2とWindows 10の両方を試したところ、同じ結果が得られました。
Upd.2:Windows 8の新規インストールでも試したところ、同じ結果が得られました。これらのログを有効にするために何を設定する必要がありますか?
Windows Server 2012 R2および2016が以下のイベントデータを提供することを確認しました。
1001 Certificate Replaced
1002 Certificate Expired
1003 Certificate Expiration Approaching
1004 Certificate Deleted
1005 Certificate Archived
1006 Certificate Installed
同じレベルの詳細(サブジェクト、サムプリント、EKU、有効期限、サブジェクトアカウント)。
おそらく、プラットフォームと環境に関する詳細を提供する必要があります。