Die Installation eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung "Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)"

Folgendes Szenario angenommen:

• Es wird eine ins Active Directory integrierte Zertifizierungsstelle (Enterprise Certification Authority) installiert.
• Für die Installation der Zertifizierungsstelle werden delegierte Berechtigungen verwendet. Der installierende Benutzer ist also nicht Mitglied der Gruppe "Enterprise Administrators".
• Nach der Ausstellung des Zertifizierungsstellen-Zertifikats durch die übergeordnete Zertifizierungsstelle wird dieses installiert, um die Rollenkonfiguration abzuschließen.
• Die Installation des Zertifizierungsstellen-Zertifikats schlägt mit folgender Fehlermeldung fehl:

Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)

Ursache

Dieser Fehler tritt auf, wenn der installierende Benutzer keine Schreibrechte auf das NTAuthCertifcates Objekt in der Active Directory Gesamtstruktur hat.

Das Zertifizierungsstellen-Zertifikat wird bei Installation in dieses Objekt aufgenommen – auch wenn es anschließend wieder direkt entfernt werden soll, kann dieser Schritt nicht ausgespart werden.

Folgefehler: Doppeltes Zertifizierungsstellen-Zertifikat

Ist man in den Fehler gelaufen, wird man den Prozess zur Instalation des Zertifizierungsstellen-Zertifikats erneut durchlaufen müssen. Dadurch wird es leider dazu kommen, dass das Zertifikat mehrfach in die Konfiguration der Zertifizierungsstelle eingetragen wird und der Zertifizierungsstellendienst den Start mit dem Fehlercode ERROR_INVALID_DATA verweigern wird.

Um die mehrfachen Instanzen zu entfernen, müssen die doppelten Einträge aus dem CACertHash Registryschlüssel entfernt werden. Dieser befindet sich an folgendem Speicherort:

HKLM\System\CurrentControlSet\Services\CertSvc\Configuration\{Common-Name-der-Zertifizierungsstelle}

Doppelte Einträge müssen entfernt werden.

Anschließend muss der Zertifizierungsstellen-Dienst neu gestartet werden.

Bitte beachten, dass es auch zwei Kopien des gleichen Zertifizierungsstellen-Zertifikats unter C:\Windows\System32\CertSrv\CertEnroll geben wird.

Weiterführende Links:

• Bearbeiten des NTAuthCertificates Objektes im Active Directory
• Entfernen alter Zertifizierungsstellen-Zertifikate aus der Konfiguration einer Zertifizierungsstelle
• Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)"