Folgendes Szenario angenommen:
- Es ist ein Onlineresponder (OCSP) im Netzwerk eingerichtet.
- Die Zertifizierungsstellen melden in unregelmäßigen Abständen, dass Zertifikatanforderungen für die OCSP-Antwortsignaturzertifikate mit folgender Fehlermeldung fehlschlagen:
The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK).
Der Online Responder (Online Certificate Status Protocol, OCSP) ist eine alternative Möglichkeit, Sperrstatusinformationen für Zertifikate bereitzustellen. Entitäten, die den Sperrstatus eines Zertifikats überprüfen möchten, müssen dank OCSP nicht die komplette Liste aller widerrufenen Zertifikate herunterladen, sondern können gezielt eine Anfrage für das betreffende Zertifikat an den Online Responder stellen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Online Responder (Online Certificate Status Protocol, OCSP)".
Die Zertifizierungsstellen protkollieren hierzu das Ereignis mit ID 22 der Quelle Microsoft-Windows-CertificationAuthority mit identischer Fehlermeldung.
Active Directory Certificate Services could not process request 40 due to an error: The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK). The request was for CN=web01.intra.adcslabor.de. Additional information: Error Verifying Request Signature or Signing Certificate
Ursache
Um der Ursache auf den Grund zu gehen, inspizieren wir die fehlgeschlagene Zertifikatanforderung.
Zunächst fällt auf, dass es sich im eine PKCS#7 Zertifikatanforderung handelt, und dass sie vom Prozess "taskhostw.exe" (dem Taskplaner) gestellt wurde. Dies ist üblicherweise ein Zeichen, dass der Autoenrollment Prozess die Zertifikatanforderung gestellt hat. Eigentlich sollte der Onlineresponder (ocspsvc.exe) die Zertifikatanforderung im PKCS#10 Format stellen.
Eine weitere Sichtung der Zertifikatanforderung ergibt, dass sie (deshalb PKCS#7) mit dem vorigen OCSP-Antwortsignatur-Zertifikat signiert wurde.
Dies ist der Grund für die Fehlermeldung, dass der Sperrstatus nicht überprüft werden kann. OCSP-Antwortsignaturzertifikate verfügen gemäß RFC 6960 über keine Sperrinformationen.
Der Fehler liegt also darin begründet, dass die Autoenrollment Berechtigung auf der Zertifikatvorlage für die OCSP Antwortsignatur vergeben wurde.
Der Autoenrollment Prozess setzt somit manchmal vor dem Onlineresponder-Prozess ein, und versucht, das Zertifikat zu erneuern. Wenn der Onlineresponder-Prozess anschließend das Zertifikat erfolgreich erneuert, hat der Autoenrollment Prozess nichts zu tun, das erklärt das nur sporadische Auftreten.
Lösung
Die Lösung ist denkbar einfach: Die Autoenrollment Berechtigung muss auf der Zertifikatvorlage für die OCSP-Antwortsignaturzertifikate entfernt werden.
OCSP-Antwortsignaturzertifikate brauchen keine Autoenrollment-Berechtigung, da der Onlineresponder-Prozess sich um die Beantragung und Erneuerung der Zertifikate kümmert. Dies ist insbesondere auch deshalb nötig, da durch den Onlineresponder-Prozess gestellte Zertifikatanforderung die "Authority Key Identifier" Erweiterung beinhalten, um das für die Signatur des Zertifikate zu verwendende Zertifizierungsstellenzertifikat zu bestimmen (siehe Artikel "Die Beantragung eines bestimmten Signaturschlüssels auf einer Zertifizierungsstelle erlauben". und hierzu Ereignis mit ID 128 der Quelle Microsoft-Windows-CertificationAuthority).
Weiterführende Links:
- Grundlagen Onlineresponder (Online Certificate Status Protocol, OCSP)
- Grundlagen manuelle und automatische Zertifikatbeantragung über Lightweight Directory Access Protocol (LDAP) und Remote Procedure Call / Distributed Common Object Model (RPC/DCOM)
Deutsch 
English
Ein Gedanke zu „Zertifikatanforderungen für den Onlineresponder (OCSP) schlagen sporadisch fehl mit Fehlermeldung "The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)"“
Kommentare sind geschlossen.