| Ereignisquelle: | Microsoft-Windows-CertificationAuthority |
| Ereignis-ID: | 22 (0x16) |
| Ereignisprotokoll: | Application |
| Ereignistyp: | Fehler |
| Symbolischer Name: | MSG_E_PROCESS_REQUEST_FAILED_WITH_INFO |
| Ereignistext (englisch): | Active Directory Certificate Services could not process request %1 due to an error: %2. The request was for %3. Additional information: %4 |
| Ereignistext (deutsch): | Die Anforderung %1 konnte aufgrund eines Fehlers nicht ausgeführt werden: %2. Die Anforderung bezog sich auf %3. Weitere Informationen: %4 |
Parameter
Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:
- %1: RequestId (win:UnicodeString)
- %2: ErrorCode (win:UnicodeString)
- %3: SubjectName (win:UnicodeString)
- %4: AdditionalInformation (win:UnicodeString)
Beispiel-Ereignisse
Active Directory Certificate Services could not process request 16701 due to an error: The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT). The request was for C=CLIENT2, C=DE, OU=ADCS Labor, OU=IT, S=Bavaria. Additional information: Error Parsing Request
Active Directory Certificate Services could not process request 10 due to an error: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER). The request was for INTRA\CLIENT2$. Additional information: Error Cannot Process TPM Attestation
Active Directory Certificate Services could not process request 20 due to an error: Cannot archive private key. The certification authority could not verify one or more key recovery certificates. 0x8009400b (-2146877429 CERTSRV_E_NO_VALID_KRA). The request was for INTRA\rudi. Additional information: Error Archiving Private Key
Active Directory Certificate Services could not process request 77 due to an error: The system cannot find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND). The request was for CN=WEB01.intra.adcslabor.de. Additional information: Error Parsing Request
Active Directory Certificate Services could not process request 193 due to an error: The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE). The request was for CN=SCEP Test. Additional information: Error Verifying Request Signature or Signing Certificate
Active Directory Certificate Services could not process request 767 due to an error: A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA). The request was for INTRA\Administrator. Additional information: Error Verifying Request Signature or Signing Certificate
Active Directory Certificate Services could not process request 12345 due to an error: A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file. 0x800b0101 (-2146762495 CERT_E_EXPIRED). The request was for CN=Rudi Ratlos. Additional information: Error Verifying Request Signature or Signing Certificate
Active Directory Certificate Services could not process request 14 due to an error: A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file. 0x800b0101 (-2146762495 CERT_E_EXPIRED). The request was for CN=www.bla.de. Additional information: Error Parsing Request
Active Directory Certificate Services could not process request 110868 due to an error: ASN1 bad tag value met. 0x8009310b (ASN: 267 CRYPT_E_ASN1_BADTAG). The request was for INTRA\rudi. Additional information: Error Parsing Request
Active Directory Certificate Services could not process request 5 due to an error: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED). The request was for CN=Rudi Ratlos. Additional information: Error verifying access
Active Directory Certificate Services could not process request 12345 due to an error: A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING). The request was for CN=Rudi Ratlos. Additional information: Error Verifying Request Signature or Signing Certificate
Active Directory Certificate Services could not process request 12345 due to an error: A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT). The request was for CN=Rudi Ratlos. Additional information: Error Verifying Request Signature or Signing Certificate
Active Directory Certificate Services could not process request 12345 due to an error: The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK). The request was for CN=Rudi Ratlos. Additional information: Error Verifying Request Signature or Signing Certificate
Active Directory Certificate Services could not process request 111022 due to an error: ASN1 unexpected end of data. 0x80093102 (ASN: 258 CRYPT_E_ASN1_EOD). The request was for INTRA\rudi. Additional information: Error Parsing Request
Beschreibung
Bei diesem Ereignis sollte besonderes Augenmerk auf den im Ereignistext eingetragenen Fehlercode (Parameter %2, ErrorCode) gelegt werden:
Fehlercode CERTSRV_E_BAD_REQUESTSTATUS
Dieser Fehler tritt auf, wenn eine Zertifikatanforderung Key based Renewal versucht wird, aber das Flag EDITF_ENABLERENEWONBEHALFOF auf der Zertifizierungsstelle nicht gesetzt ist.
Fehlercode CERTSRV_E_BAD_REQUESTSUBJECT
Dieser Fehler tritt auf, wenn die Zertifizierungsstelle den Subject-Teil einer eingehenden Zertifikatanforderung nicht verifizieren kann. Siehe auch Artikel "Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)"".
- Wie im Beispiel-Ereignis zu sehen ist, wurde versehentlich die identität des Antragstellers nicht in das Common Name (CN) RDN eingetragen, sondern in Country (C). Das Country-Feld erlaubt jedoch nur zwei Ziffern (optimalerweise die nach ISO 3166 definierten Ländercodes), sodass der Zertifikatantrag durch die Zertifizierungsstelle nicht verarbeitet werden konnte und daher abgelehnt wurde.
- Es wurde ein unerlaubter Relative Distinguisghed Name (RDN) in das Subject der Zertifikatanforderung eingetragen.
- Das Feld Antragsteller (Subject) in der Zertifikatanforderung ist identisch mit dem der Zertifizierungsstelle.
- Ein im Feld Antragsteller (Subject) beantragte RDN (z.B. Common Name) ist länger als erlaubt. Siehe hierzu auch Artikel Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)".
Fehlercode ERROR_INVALID_PARAMETER
Dieser Fehler kann auftreten, wenn ein Windows 10 Client ein Zertifikat mit Trusted Platform Module (TPM) Key Attestation von einer Windows Server 2012 R2 Zertifizierungsstelle beziehen möchte. Der Fehler wurde mit dem KB3154769 behoben, welcher im Juni 2016 update Rollup für Windows RT 8.1, Windows 8.1 und Windows Server 2012 R2 beinhaltet ist.
Fehlercode CERTSRV_E_NO_VALID_KRA
Fehlercode ERROR_FILE_NOT_FOUND
Siehe Artikel "Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "The system cannot find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)"".
Fehlercode CERT_E_UNTRUSTEDCA
Fehlercode CRYPT_E_NO_REVOCATION_CHECK
Tritt auf, wenn der Sperrstatus des Zertifizierungsstellen-Zertifikats nicht geprüft werden kann, z.B. weil die Sperrliste nicht verfügbar oder abgelaufen ist.
Tritt auf, wenn die Autoenrollment-Berechtigung auf einer Zertifikatvorlage für die OCSP-Antwortsignatur gesetzt ist und somit Zertifikatanforderungen mit einem OCSP-Antwortsignaturzertifikat signiert werden. Die Sperrstatusprüfung ist dann nicht möglich, da diese Zertifikate keine Sperrstatusinformationen beinhalten. Siehe Artikel "Zertifikatanforderungen für den Onlineresponder (OCSP) schlagen sporadisch fehl mit Fehlermeldung "The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)"".
Fehlercode CRYPT_E_ASN1_BADTAG
Tritt auf, wenn die eingereichte Zertifikatanforderung nicht verarbeitet werden konnte, also höchstwahrscheinlich ungültige Daten anstelle einer Zertifikatanforderung an die Zertifizierungsstelle gesendet wurden.
Fehlercode CRYPT_E_ASN1_EOD
Siehe Fehlercode CRYPT_E_ASN1_BADTAG.
Fehlercode ERROR_ACCESS_DENIED
Tritt beispielsweise auf, wenn ein Zertifikat abgerufen werden soll, das nicht durch das anfragende Konto beantragt wurde. Dies kann auf einen Angriffsversuch hinweisen und sollte, wenn es häufiger auftritt, unter Umständen alarmiert werden.
Sicherheitsbewertung
Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).
Hierzu wurde noch keine Beschreibung verfasst.
Bewertung durch Microsoft
Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Niedrig".
Weiterführende Links:
- Übersicht über die von der Zertifizierungsstelle generierten Windows-Ereignisse
- Übersicht über die von der Zertifizierungsstelle generierten Audit-Ereignisse
- Erlaubte Relative Distinguished Names (RDNs) im Subject Distinguished Name (DN) ausgestellter Zertifikate
Externe Quellen
- Event ID 22 – AD CS Certificate Request (Enrollment) Processing (Microsoft)
- Securing Public Key Infrastructure (PKI) (Microsoft)
- ISO-3166-1-Kodierliste (Wikipedia)
Deutsch 
English
7 Gedanken zu „Details zum Ereignis mit ID 22 der Quelle Microsoft-Windows-CertificationAuthority“
Kommentare sind geschlossen.