Details zum Ereignis mit ID 10 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll

Ereignisquelle:Microsoft-Windows-CertificateServicesClient-CertEnroll
Ereignis-ID:10 (0x425A000A)
Ereignisprotokoll:Application
Ereignistyp:Information
Ereignistext (englisch):Certificate enrollment for %1 archived or deleted, from the Personal certificate store, certificates that have expired, or been revoked or superseded.
Ereignistext (deutsch):Von der Zertifikatregistrierung für %1 wurden Zertifikate aus dem persönlichen Zertifikatspeicher archiviert oder gelöscht, die abgelaufen waren oder gesperrt oder abgelöst wurden.

Parameter

Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:

  • %1: Context (win:UnicodeString)

Beispiel-Ereignisse

Certificate enrollment for INTRA\rudi archived or deleted, from the Personal certificate store, certificates that have expired, or been revoked or superseded.
Certificate enrollment for Local system archived or deleted, from the Personal certificate store, certificates that have expired, or been revoked or superseded.

Beschreibung

Tritt auf, wenn Zertifikate im Zertifikatspeicher des genannten Benutzers beim Durchlauf des Prozesses archiviert wurden.

Eine Archivierung wird vorgenommen, wenn Autoenrollment per Gruppenrichtlinien konfiguriert und die Option "Renew expired certificates, update pending certificates, and remove revoked certificates" aktiviert ist.

Gründe für eine Archivierung können sein:

  • Das Zertifikat wurde erneuert und somit durch ein neueres ersetzt.
  • Das Zertifikat wurde widerrufen (und ein neues wurde beantragt).
  • Das Zertifikat ist abgelaufen (und ein neues wurde beantragt).
  • Das Zertifikat stammt von einer Zertifikatvorlage, welche durch eine andere ersetzt wurde (Karteikarte "Superseded Templates" in den Einstellungen der Zertifkatvorlage).

Eine automatische Archivierung oder Löschung funktioniert nur bei Zertifikaten, die per Autoenrollment verfügbar gemacht wurden und erfordert immer die Neuausstellung eines Zertifikats, d.h. eine reine Entfernung eines Zertifikats ohne Ersatz ist über diesen Mechanismus nicht abbildbar.

Die Entscheidung, ob ein Zertifikat gelöscht oder archiviert wird, wird anhand der Einstellung "Delete revoked or expired certificates (do not archive)" in der Zertifikatvorlage getroffen. In der Standardeinstellung werden Zertifikate lediglich archviert, d.h. das Archivbit wird gesetzt, sodass das Zertifikate Anwendungen bei der Zertifikatauswahl nicht mehr angeboten wird.

Die Option steht nicht zur Verfügung, wenn die Option "Purpose" auf "Encryption" oder "Signature and Encryption" gesetzt ist, um eine Entschlüsselung eventuell mit dem Zertifikat verschlüsselter Daten weiterhin gewährleisten zu können.

Die Option aktiviert das Flag CT_FLAG_REMOVE_INVALID_CERTIFICATE_FROM_PERSONAL_STORE im "msPKI-Enrollment-Flag" Attribut der Zertifikatvorlage.

Es wird lediglich das Zertifikat aus dem Zertifikatspeicher entfernt, der private Schlüssel wird nicht gelöscht. Ein gelöschtes Zertifikat kann also mit der -repairstore Option von certutil wiederhergestellt werden.

Sicherheitsbewertung

Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).

Hierzu wurde noch keine Beschreibung verfasst.

Weiterführende Links:

Ein Gedanke zu „Details zum Ereignis mit ID 10 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll“

Kommentare sind geschlossen.

de_DEDeutsch