Die Beantragung eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung "The certification authority’s certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)"

Autor Uwe GradeneggerVeröffentlicht am Kategorien Troubleshooting, Zertifikat-Benutzung, ZertifizierungsstelleSchlagwörter , ,

Folgendes Szenario angenommen:

  • Es wird ein Zertifizierungsstellen-Zertifikat von einer Zertifizierungsstelle beantragt
  • Die Zertifikatanforderung schlägt mit folgender Fehlermeldung fehl:
The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)
Denied by Policy Module

Darüber hinaus protokolliert die Zertifizierungsstelle entsprechend das Ereignis mit Nr. 53:

Active Directory Certificate Services denied request 57 because The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE). The request was for CN=Invalid Path Length CA. Additional information: Denied by Policy Module

Mögliche Ursachen

Grundsätzlich tritt dieser Fehler auf, wenn das Zertifizierungsstellen-Zertfikat eine Zertifikatrichtlinie (Issuance Policy) oder Einschränkung (Application Policy) oder eine Einschränkung der Pfadlänge (Path Length Constraint) aufweist, welche mit dem beantragten Zertifikat in Konflikt steht. Beispiele hierfür können sein:

  • Das Zertifizierungsstellen-Zertifikat verfügt über einen Path Length Constraint und es wird ein untergeordnetes Zertifizierungsstellen-Zertifikat beantragt
  • Die Zertifikatrichtlinie (Issuance Policy) auf einer Stammzertifizierungsstelle wurde bei Erneuerung des Zertifizierungsstellen-Zertifikats geändert

Details: Das Zertifizierungsstellen-Zertifikat verfügt über einen Path Length Constraint und es wird ein untergeordnetes Zertifizierungsstellen-Zertifikat beantragt

Dieser Fehler tritt auf, wenn das Zertifizierungsstellen-Zertifikat über eine Einschränkung der Pfad Länge (Path Length) Constraint mit dem Wert "0" verfügt und es ihr somit nicht gestattet ist, Zertifizierungsstellen-Zertifikate auszustellen. Dieses Verhalten ist eine gewünschte Sicherheitsfunktion und kann darum nicht deaktiviert werden.

Siehe hierzu auch Artikel "Grundlagen: Einschränkung der Pfadlänge (Path Length Constraint)".

Details: Die Zertifikatrichtlinie (Issuance Policy) auf einer Stammzertifizierungsstelle wurde bei Erneuerung des Zertifizierungsstellen-Zertifikats geändert

Der Fehler kann bei einer Stammzertifizierungsstelle (engl. Root Certification Authority) auftreten, wenn deren Zertifizierungsstellen-Zertifikate erneuert wird, und dabei die Ausstellungsrichtlinie (Issuance Policy) über die capolicy.inf verändert wird.

Eine Stammzertifizierungsstelle wird bei Erneuerung des Zertifizierungsstellen-Zertifikats (wenn ein neues Schlüsselpaar generiert wurde) eine Kreuz-Signierung (Cross Certification) zwischen dem neuen und dem vorigen Zertifizierungsstellen-Zertifikat zu erstellen versuchen. Unterscheiden sich die Ausstellungs-Richtlinien der beiden Zertifikate, schlägt dies jedoch fehl.

Die Zertifizierungsstelle wird den Prozess bei jedem Dienststart erneut versuchen und scheitern, sodass immer wieder neue fehlgeschlagene Anforderungen generiert werden.

Ein interessantes Merkmal hierbei ist übrigens, dass die Zertifikatanforderung nicht eingesehen werden kann.

Dies wird auch in der Ereignisanzeige entsprechend mit dem Ereignis Nr. 102 abgebildet.

In diesem Fall bieten sich folgende Optionen zur Lösung an:

  • Akzeptieren des Problems.
  • Deaktivieren der Erzeugung der Kreuzzertifizierungsstellen-Zertifikate. Siehe hierzu Artikel "Deaktivieren der Erzeugung der Kreuzzertifizierungsstellen-Zertifikate".
  • Beim Design einer Stammzertifizierungsstelle sollte überlegt werden, ob man überhaupt Ausstellungsrichtlinien in Stammzertifizierungsstellen-Zertifikate aufnehmen möchte.

Weiterführende Links:

de_DEDeutsch
en_USEnglish de_DEDeutsch