同僚に教えてもらったんだけれど Windows Vista 以降ではイベントビューワーに、証明書の確認といった PKI にかかわる処理の経過を残すことができる。

管理者権限で下記コマンドを発行することでイベント記録の各種設定を変更できる。

ログ記録を有効化する

wevtutil.exe sl Microsoft-Windows-CAPI2/Operational /e:true

ログをファイルに保存する

wevtutil.exe epl Microsoft-Windows-CAPI2/Operational filename.evtx

ログ記録を無効化する

wevtutil.exe sl Microsoft-Windows-CAPI2/Operational /e:false

ログを消去する

wevtutil.exe cl Microsoft-Windows-CAPI2/Operational

ログサイズを設定する

wevtutil sl Microsoft-Windows-CAPI2/Operational /ms:<バイト単位のログ サイズ>

詳細は Troubleshooting PKI Problems on Windows Vista | Microsoft Docs を参照のこと。

たとえばインターネットエクスプローラーのアドレスバーが赤く染まって警告が表示されるなど障害が起きたらログを有効にし、再現手順を踏んだ後ログ記録を無効化し、ログをファイルに書き出すかイベントビューワーで確認するかして、障害を切り分ける、…といった使い方ができるだろう。
なおイベントビューワーでログを参照するキーは Applications and Services\Microsoft\Windows\CAPI2\Operational である。