Die Beantragung eines Trusted Platform Module (TPM) geschützten Zertifikats schägt fehl mit Fehlermeldung "The requested operation is not supported. 0x80090029 (-2146893783 NTE_NOT_SUPPORTED)"

Folgendes Szenario angenommen:

  • Es ist eine Zertifikatvorlage für die Verwendung des Microsoft Platform Crypto Provider konfiguriert, sodass der bei der Beantragung des Zertifikats erzeugte private Schlüssel mit einem Trusted Platform Module (TPM) geschützt ist.
  • Die Beantragung von Zertifikaten schlägt jedoch mit folgender Fehlermeldung fehl:
An error occurred while enrolling for a certificate.
A certificate request could not be created.
Url: CA02.intra.adcslabor.de\ADCS Labor Issuing CA 1
Error: The requested operation is not supported. 0x80090029 (-2146893783 NTE_NOT_SUPPORTED)

Ursache

Die Fehlermeldung NTE_NOT_SUPPORTED tritt bei der Erzeugung des privaten Schlüssels auf. Wenn in der Zertifikatvorlage ein Export des privaten Schlüssels erlaubt ist, wird dies bei Verwendung des Microsoft Platform Crypto Provider fehlschlagen, da dieser logischerweise keinen Schlüsselexport unterstützt.

Eine Veränderung der Zertifikatvorlage mit der Zertifizierungsstellen-Verwaltungskonsole kann dazu führen, dass das pKIDefaultCSPs Attribut zurückgesetzt oder verändert wird und nicht mehr der Microsoft Platform Crypto Provider voreingestellt ist. Nach jeder Änderung der Zertifikatvorlage sollte daher kontrolliert werden, dass das Attribut wie gewünscht gesetzt ist (siehe Artikel "Konfigurieren einer Zertifikatvorlage für die Verwendung des Microsoft Platform Crypto Provider, um Schutz des privaten Schlüssels durch ein Trusted Platform Module (TPM) zu ermöglichen").

Weiterführende Links: