Details zum Ereignis mit ID 53 der Quelle Microsoft-Windows-CertificationAuthority

Ereignisquelle:Microsoft-Windows-CertificationAuthority
Ereignis-ID:53 (0x35)
Ereignisprotokoll:Application
Ereignistyp:Warnung
Symbolischer Name:MSG_DN_CERT_DENIED_WITH_INFO
Ereignistext (englisch):Active Directory Certificate Services denied request %1 because %2. The request was for %3. Additional information: %4
Ereignistext (deutsch):Die Anforderung %1 wurde abgelehnt, da %2. Die Anforderung war für %3. Weitere Informationen: %4

Parameter

Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:

  • %1: RequestId (win:UnicodeString)
  • %2: Reason (win:UnicodeString)
  • %3: SubjectName (win:UnicodeString)
  • %4: AdditionalInformation (win:UnicodeString)

Beispiel-Ereignisse

Active Directory Certificate Services denied request 146 because The public key does not meet the minimum size required by the specified certificate template. 0x80094811 (-2146875375 CERTSRV_E_KEY_LENGTH).  The request was for CN=TestNDESCert.  Additional information: Denied by Policy Module
Active Directory Certificate Services denied request 168 because The permissions on the certificate template do not allow the current user to enroll for this type of certificate. 0x80094012 (-2146877422 CERTSRV_E_TEMPLATE_DENIED). The request was for INTRA\WEB01$. Additional information: Denied by Policy Module
Active Directory Certificate Services denied request 799 because An internal error occurred. 0x80090020 (-2146893792 NTE_FAIL).  The request was for INTRA\CLIENT01$.  Additional information: Error Constructing or Publishing Certificate
Active Directory Certificate Services denied request 798 because Invalid Signature. 0x80090006 (-2146893818 NTE_BAD_SIGNATURE).  The request was for INTRA\CLIENT01$.  Additional information: Error Constructing or Publishing Certificate
Active Directory Certificate Services denied request 797 because The security token does not have storage space available for an additional container. 0x80090023 (-2146893789 NTE_TOKEN_KEYSET_STORAGE_FULL).  The request was for INTRA\CLIENT01$.  Additional information: Error Constructing or Publishing Certificate
Active Directory Certificate Services denied request 795 because The device that is required by this cryptographic provider is not ready for use. 0x80090030 (-2146893776 NTE_DEVICE_NOT_READY).  The request was for INTRA\CLIENT01$.  Additional information: Error Constructing or Publishing Certificate
Active Directory Certificate Services denied request 788 because Incorrect password. 0x80090033 (-2146893773 NTE_INCORRECT_PASSWORD).  The request was for INTRA\CLIENT01$.  Additional information: Error Constructing or Publishing Certificate
Active Directory Certificate Services denied request 782 because The signature of the certificate cannot be verified. 0x80096004 (-2146869244 TRUST_E_CERT_SIGNATURE).  The request was for INTRA\CLIENT01$.  Additional information: Error Constructing or Publishing Certificate
Active Directory Certificate Services denied request 777 because The parameter is incorrect. 0x80090027 (-2146893785 NTE_INVALID_PARAMETER).  The request was for INTRA\CLIENT01$.  Additional information: Error Constructing or Publishing Certificate
Active Directory Certificate Services denied request 356 because An attempt was made to open a Certification Authority database session, but there are already too many active sessions. The server may need to be configured to allow additional sessions. 0x8009400f (-2146877425 CERTSRV_E_NO_DB_SESSIONS). The request was for INTRA\CLIENT1$. Additional information: Denied by Policy Module
Active Directory Certificate Services denied request 838 because Bad Length. 0x80090004 (-2146893820 NTE_BAD_LEN). The request was for INTRA\CLIENT01$. Additional information: Error Constructing or Publishing Certificate
Active Directory Certificate Services denied request 34 because The certificate has invalid policy. 0x800b0113 (-2146762477 CERT_E_INVALID_POLICY).  The request was for INTRA\CLIENT4$.  Additional information: Error Constructing or Publishing Certificate  Invalid Issuance Policies:  1.3.6.1.4.1.311.21.31
Active Directory Certificate Services denied request 12 because The request does not support private key attestation as defined in the certificate template. 0x8009481a (-2146875366 CERTSRV_E_KEY_ATTESTATION). The request was for INTRA\CLIENT01$. Additional information: Denied by Policy Module
Active Directory Certificate Services denied request 157 because The request contains no certificate template information. 0x80094801 (-2146875391 CERTSRV_E_NO_CERT_TYPE). The request was for CN=WEB02. Additional information: Denied by Policy Module 0x80094801, The request does not contain a certificate template extension or the CertificateTemplate request attribute.
Active Directory Certificate Services denied request 152 because The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE). The request was for O=ADCS Labor, CN=www.adcslabor.de. Additional information: Denied by Policy Module 0x80094800, The request was for a certificate template that is not supported by the Active Directory Certificate Services policy: 1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.14577106.8832112(ADCS Labor Web Server).
Active Directory Certificate Services denied request 165405 because The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE). The request was for INTRA\DC01$. Additional information: Denied by Policy Module
Active Directory Certificate Services denied request 57 because The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE). The request was for CN=Invalid Path Length CA. Additional information: Denied by Policy Module
Active Directory Certificate Services denied request 8 because The certificate template renewal period is longer than the certificate validity period. The template should be reconfigured or the CA certificate renewed. 0x80094814 (-2146875372 CERTSRV_E_CERT_TYPE_OVERLAP). The request was for CN=Rudi Ratlos. Additional information: Denied by Policy Module Renewing a certificate with the ADCSLaborBenutzer2 Certificate Template failed because the renewal overlap period is longer than the certificate validity period.
Active Directory Certificate Services denied request 699 because The request is missing a required private key for archival by the server. 0x80094804 (-2146875388 CERTSRV_E_ARCHIVED_KEY_REQUIRED). The request was for CN=Testuser, E=testuser@adcslabor.de. Additional information: Denied by Policy Module
Active Directory Certificate Services denied request 110791 because One or more signatures did not include the required application or issuance policies. The request is missing one or more required valid signatures. 0x8009480b (-2146875381 CERTSRV_E_SIGNATURE_REJECTED).  The request was for CN=www.bla.de.  Additional information: Denied by Policy Module  0x8009480b, The ADCSLaborWebServer Certificate Template requires 1 signatures, but only 0 were accepted.
Active Directory Certificate Services denied request 110823 because The request is missing required signature policy information. 0x80094809 (-2146875383 CERTSRV_E_SIGNATURE_POLICY_REQUIRED).  The request was for CN=Peter Pan.  Additional information: Denied by Policy Module
Active Directory Certificate Services denied request 12345 because Write lock failed due to outstanding write lock 0xc800044e (ESE: -1102 JET_errWriteConflict).  The request was for INTRA\rudi.  Additional information: Denied by Policy Module  Resubmitted by INTRA\Administrator
Active Directory Certificate Services denied request 525317 because The specified time is invalid. 0x8007076d (WIN32: 1901 ERROR_INVALID_TIME).  The request was for CN=somewebsite.intra.adcslabor.de.  Additional information: Denied by Policy Module
Active Directory Certificate Services denied request 821 because The DNS name is unavailable and cannot be added to the Subject Alternate name. 0x8009480f (-2146875377 CERTSRV_E_SUBJECT_DNS_REQUIRED).  The request was for CN=pki.adcslabor.de.  Additional information: Denied by Policy Module  Resubmitted by INTRA\Administrator
Active Directory Certificate Services denied request 12345 because The specified server cannot perform the requested operation. 0x8007003a (WIN32: 58 ERROR_BAD_NET_RESP). The request was for INTRA\rudi. Additional information: Denied by Policy Module 0x8007003a, The Active Directory containing the Certification Authority could not be contacted.
Active Directory Certificate Services denied request 1234 because An internal consistency check failed. 0x8009002d (-2146893779 NTE_INTERNAL_ERROR). The request was for INTRA\CLIENT01$. Additional information: Error Constructing or Publishing Certificate
Active Directory Certificate Services denied request 12345 because Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA). The request was for CN=Rudi Ratlos. Additional information: Error Constructing or Publishing Certificate Resubmitted by INTRA\Administrator
Active Directory Certificate Services denied request 12345 because The EMail name is unavailable and cannot be added to the Subject or Subject Alternate name. 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED). The request was for INTRA\rudi. Additional information: Denied by Policy Module
Active Directory Certificate Services denied request 7040 because The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER).  CN=WEB01.intra.adcslabor.de.  Additional information: Denied by Policy Module
Active Directory Certificate Services denied request 12345 because The request contains conflicting template information. 0x80094802 (-2146875390 CERTSRV_E_TEMPLATE_CONFLICT). The request was for CN=test.adcslabor.de. Additional information: Denied by Policy Module 0x80094802, The request specifies conflicting certificate templates: 1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.4136173.9322655(ADCSLaborWebServer)/ADCSLaborWebServer.
Active Directory Certificate Services denied request 1049 because The user name or password is incorrect. 0x8007052e (WIN32: 1326 ERROR_LOGON_FAILURE).  The request was for INTRA\WEB02$.  Additional information: Denied by Policy Module  0x8007052e, Active Directory Certificate Services could not connect to the global catalog server.  CN=WEB02,OU=Server,OU=ADCSLabor Computer,DC=intra,DC=adcslabor,DC=de

Beschreibung

Fehlercodes, die üblicherweise zum normalen Zertifizierungsstellen-Betrieb gehören:

  • The public key does not meet the minimum size required by the specified certificate template. 0x80094811 (-2146875375 CERTSRV_E_KEY_LENGTH).
  • The permissions on the certificate template do not allow the current user to enroll for this type of certificate. 0x80094012 (-2146877422 CERTSRV_E_TEMPLATE_DENIED).
  • The request contains no certificate template information. 0x80094801 (-2146875391 CERTSRV_E_NO_CERT_TYPE).
  • The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE).
  • The request contains conflicting template information. 0x80094802 (-2146875390 CERTSRV_E_TEMPLATE_CONFLICT).
  • The request is missing a required private key for archival by the server. 0x80094804 (-2146875388 CERTSRV_E_ARCHIVED_KEY_REQUIRED).
  • The DNS name is unavailable and cannot be added to the Subject Alternate name. 0x8009480f (-2146875377 CERTSRV_E_SUBJECT_DNS_REQUIRED)

Fehlercodes, die auf eine Fehlkonfiguration der Zertifizierungsstelle hinweisen können:

  • The certificate has invalid policy. 0x800b0113 (-2146762477 CERT_E_INVALID_POLICY).
  • The request does not support private key attestation as defined in the certificate template. 0x8009481a (-2146875366 CERTSRV_E_KEY_ATTESTATION).
  • The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE).
  • The certificate template renewal period is longer than the certificate validity period. The template should be reconfigured or the CA certificate renewed. 0x80094814 (-2146875372 CERTSRV_E_CERT_TYPE_OVERLAP).

Fehlercodes, die auf eine Fehlkonfiguration des Active Directory, des Netzwerks oder der Zertifikatvorlagen hinweisen können:

  • The EMail name is unavailable and cannot be added to the Subject or Subject Alternate name. 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED).
  • The request is missing required signature policy information. 0x80094809 (-2146875383 CERTSRV_E_SIGNATURE_POLICY_REQUIRED).
  • The specified server cannot perform the requested operation. 0x8007003a (WIN32: 58 ERROR_BAD_NET_RESP).
  • Incorrect password. 0x80090033 (-2146893773 NTE_INCORRECT_PASSWORD).
  • The user name or password is incorrect. 0x8007052e (WIN32: 1326 ERROR_LOGON_FAILURE).

Fehlercodes, die auf eine Fehlfunktion der Zertifizierungsstelle hinweisen können:

  • The certification authority’s certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE).
  • An internal error occurred. 0x80090020 (-2146893792 NTE_FAIL).
  • Invalid Signature. 0x80090006 (-2146893818 NTE_BAD_SIGNATURE).
  • The security token does not have storage space available for an additional container. 0x80090023 (-2146893789 NTE_TOKEN_KEYSET_STORAGE_FULL).
  • The device that is required by this cryptographic provider is not ready for use. 0x80090030 (-2146893776 NTE_DEVICE_NOT_READY)
  • The signature of the certificate cannot be verified. 0x80096004 (-2146869244 TRUST_E_CERT_SIGNATURE).
  • The parameter is incorrect. 0x80090027 (-2146893785 NTE_INVALID_PARAMETER).
  • An attempt was made to open a Certification Authority database session, but there are already too many active sessions. The server may need to be configured to allow additional sessions. 0x8009400f (-2146877425 CERTSRV_E_NO_DB_SESSIONS).
  • Bad Length. 0x80090004 (-2146893820 NTE_BAD_LEN).
  • Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA).

Oftmals ist die Ursache eine Fehlfunktion des Hardware Security Moduls.

Fehlercode NTE_BAD_DATA

Sofern ein SafeNet Hardware Security Modul (HSM) eingesetzt wird, kann dieser Fehler auftreten, wenn die Netzwerkverbindung zum HSM verlorengegangen ist und die Zertifizierungsstelle nicht mehr auf den privaten Schlüssel zugreifen kann.

Siehe Artikel "Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA)."".

Im gleichen Zusammenhang können auch die Ereignisse Nr. 86, 88 und 130 auftreten.

Fehlercode CERTSRV_E_TEMPLATE_CONFLICT

Tritt auf, wenn die eingereichte Zertifikatanforderung eine Erweiterung "Certificate Template Information" beinhaltet, welche eine Zertifikatvorlage für die Ausstellung bestimmt, jedoch beim Einreichen der Zertifikatanforderung eine andere Zertifikatvorlage ausgewählt wird.

Fehlercode CERTSRV_E_TEMPLATE_DENIED

Tritt auf, wenn der beantragende Benutzer oder Computer nicht berechtigt ist, ein Zertifikat für diese Zertifikatvorlage zu beantragen.

Dies kann auch bei Autoenrollment oder Beantragung über die Microsoft Management Console (MMC) auftreten, wenn die Berechtigung zum beantragen über eine Sicherheitsgruppe erfolgt und der beantragende Benutzer bzw. Computer sich seit Aufnahme in die Gruppe noch nicht neu angemeldet hat (bei Computern erfordert dies einen Neustart).

Der Grund ist, dass die clientseitigige Prüfung auf die Berechtigung anhand einer Verzeichnisabfrage erfolgt, die eigentliche Authentifizierung jedoch per Kerberos-Ticket, in welchem die Gruppenmitgliedschaft noch nicht abgebildet ist.

Fehlercode CERTSRV_E_NO_CERT_TYPE

Dieser Fehler tritt auf, wenn eine Zertifikatanforderung an die Zertifizierungsstelle gesendet wurde, aber keine Angabe über die gewünschte Zertifikatvorlage gemacht wurde.

Die Zertifikatvorlage ist eine Pflichtangabe. Sie muss entweder über ein Attribut innerhalb der Zertifikatanforderung oder bei der Übermittlung angegeben werden.

Beim Übermitteln der Zertifikatanforderung mittels certreq.exe kann die gewünschte Zertifikatanforderung mit dem -attrib Argument angegeben werden:

certreq -attrib "CertificateTemplate:<Name-der-Zertifikatvorlage>" -submit <Zertifikatanforderung>.req

Fehlercode CERTSRV_E_UNSUPPORTED_CERT_TYPE

Dieser Fehler tritt auf, wenn eine Zertifikatanfrage an die Zertifizierungsstelle gesendet wurde, welche ein Attribut für die Zertifikatvorlage enthält bzw. dieses beim Übermitteln der Zertifikatanforderung mitgegeben wurde, diese aber entweder fehlerhaft (z.B. Tippfehler) ist oder die gewünschte Zertifikatvorlage nicht auf dieser Zertifizierungsstelle veröffentlicht wurde (z.B. weil die Zertifikatanforderung an die falsche Zertifizierungsstelle gesendet wurde).

Tritt auch auf, wenn die Zertifizierungsstelle keine Leseberechtigung auf eine veröffentlichte Zertifikatvorlage hat. In der Standardeinstellung erhältdie Zertifizierungsstelle das Leserecht durch den Eintrag für "Authenticated Users" in den Sicherheitseinstellungen der Zertifikatvorlage.

Fehlercode CERTSRV_E_KEY_LENGTH

Dieser Fehler tritt auf, wenn die Schlüssellänge innerhalb des Zertifikatantrags geringer ist als die in der Zertifikatvorlage definierte Mindestgröße. Dies kann insbesondere bei manuell erzeugten Zertifikatanträgen auftreten.

Die Lösung ist, bereits bei der Antragstellung und somit beim Erzeugen des Schlüsselpaars eine entsprechende Schlüsselgröße zu wählen. Alternativ kann die Schlüsselgröße in der Zertifikatvorlage reduziert werden. Bitte beachten, dass der verwendete Schlüsselalgorithmus vom Policy-Modul der Zertifizierungsstelle nicht überprüft wird, d.h. eine Zertifikatvorlage mit geringer Schlüssellänge, die sowohl RSA- als auch ECC-Schlüssel akzeptiert ist technisch realisierbar.

Fehlercode CERTSRV_E_KEY_ATTESTATION

Dieser Fehler tritt auf, wenn Trusted Platform Module (TPM) Key Attestation konfiguriert ist, und ein Zertifikatantrag eingeht, für den entweder kein entsprechender Endorsement Key oder keine dem Endorsement-Zertifikat entsprechendes Zertifizierungsstellenzertifikat auf der Zertifizierungsstelle hinterlegt ist. Siehe auch Artikel "Konfigurieren der Trusted Platform Module (TPM) Key Attestation".

Fehlercode RPC_S_SERVER_UNAVAILABLE

Dieser Fehler tritt auf, wenn ein Zertifikat für einen Domänencontroller beantragt wird, die Zertifikatvorlage das Flag CT_FLAG_SUBJECT_ALT_REQUIRE_DOMAIN_DNS gesetzt hat und die Zertifizierungsstelle mit betreffendem Domänencontroller keine Verbindung über RPC Named Pipes herstellen kann. Siehe Artikel "Die Beantragung eines Zertifikats für Domänencontroller schlägt fehl mit Fehlermeldung "The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)"".

Fehlercode CERT_E_INVALID_POLICY

Dieser Fehler tritt auf, wenn der Zertifikatantrag oder die Zertifikatvorlage eine Erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) oder eine Ausstellungsrichtlinie (Issuance Policy) beinhaltet, welche für die Zertifizierungsstelle nicht zulässig ist – d.h. dass die beantragte Richtlinien-OID nicht im Zertifizierungsstellen-Zertifkat vorhanden ist und somit von dieser nicht ausgestellt werden darf.

Dies kann unter Anderen in folgenden Fällen auftreten:

Fehlercode CERTSRV_E_INVALID_CA_CERTIFICATE

Grundsätzlich tritt dieser Fehler auf, wenn das Zertifizierungsstellen-Zertfikat eine Zertifikatrichtlinie (Issuance Policy) oder Einschränkung (Application Policy) oder eine Einschränkung der Pfadlänge (Path Length Constraint) aufweist, welche mit dem beantragten Zertifikat in Konflikt steht. Beispiele hierfür können sein:

  • Das Zertifizierungsstellen-Zertifikat verfügt über einen Path Length Constraint und es wird ein untergeordnetes Zertifizierungsstellen-Zertifikat beantragt
  • Die Zertifikatrichtlinie (Issuance Policy) auf einer Stammzertifizierungsstelle wurde bei Erneuerung des Zertifizierungsstellen-Zertifikats geändert

Siehe Artikel "Die Beantragung eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung "The certification authority’s certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)"".

Fehlercode NTE_INTERNAL_ERROR

Tritt unter Anderem auf, wenn es ein Problem beim Zugriff auf einen privaten Schlüssel der Zertifizierungsstelle gibt (z.B. bei Problemen mit einem Hardware Security Modul, (insbesondere wenn der Cavium Key Storage Provider des AWS CloudHSM eingesetzt wird).

Siehe hierzu auch Ereignisse 100 und 130.

Fehlercode CERTSRV_E_SUBJECT_EMAIL_REQUIRED

Tritt auf, wenn die zugrundeliegende Zertifikatvorlage konfiguriert ist, eine E-Mail Adresse in das Subject des ausgestellten Zertifikats zu schreiben, das beantragende Benutzerkonto jedoch keine im Active Directory hinterlegte E-Mail Adresse besitzt.

Dies kann unter Anderem bei administrativen Konten auftreten, da diese oft keine konfigurierte E-Mail Adresse vorweisen können. Wenn es eine Zertifikatvorlage gibt, welche das Hinzufügen einer E-Mail Adresse konfiguriert hat, wird immer wieder (nach den Regeln des AutoEnrollment Prozesses) versucht, ein Zertifikat zu beantragen, was fehlschlagen wird und somit (je nach Anzahl der betroffenen Konten) zu einem enormen Wachstum der Zertifizierungsstellen-Datenbank führen kann.

Fehlercode CERTSRV_E_NO_DB_SESSIONS

Tritt auf, wenn zu viele gleichzeitige Verbindungen zur Zertifizierungsstellen-Datenbank bestehen – üblicherweise, da sehr viele Zertifikatanforderungen bearbeitet werden.

Siehe Artikel "Die Ausstellung von Zertifikaten oder Sperrlisten schlägt fehl mit Fehlercode CERTSRV_E_NO_DB_SESSIONS".

Kann auch auf einen Denial of Service (DoS) Angriff hinweisen.

Fehlercode JET_errWriteConflict

Tritt auf, wenn zu viele gleichzeitige Verbindungen zur Zertifizierungsstellen-Datenbank bestehen – üblicherweise, da sehr viele Zertifikatanforderungen bearbeitet werden.

Siehe auch Fehlercode CERTSRV_E_NO_DB_SESSIONS.

Für weitere Informationen siehe Artikel "Die Ausstellung von Zertifikaten oder Sperrlisten schlägt fehl mit Fehlercode CERTSRV_E_NO_DB_SESSIONS".

Kann auch auf einen Denial of Service (DoS) Angriff hinweisen.

Fehlercode CERTSRV_E_CERT_TYPE_OVERLAP

Tritt auf, wenn die rechtzeitige Erneuerung des Zertifizierungsstellen-Zertifikats verpasst wurde. Gegen Ende der Gültigkeit des Zertifizierungsstellen-Zertifikats werden die ausgestellten Zertifikate in ihren Gültigkeitszeitäumen beschnitten (siehe Ereignis Nr. 97) und letztendlich werden Zertifikate beantragt, welche kürzer gültig wären als die in der Zertifikatvorlage konfigurierte Renewal Period (wenn diese die verbleibende Gültigkeit des Zertifizierungsstellen-Zertifikats überschreiten würde).

Fehlercode CERTSRV_E_SIGNATURE_REJECTED

Tritt auf, wenn eine Zertifikatvorlage eine Signatur erfordert (Karteikarte Issuance Requirements) und diese nicht überprüft werden kann, beispielsweise…

  • wenn die Zertifizierungsstelle, welche das Signaturzertifikat ausgestellt hat, für das Enhanced Key Usage oder die Ausstellungsrichtlinie (Issuance Policy) nicht für diesen Zweck zugelassen ist (etwa aufgrund von Einschränkungen (Constraints) im Zertifizierungsstellen-Zertifikat
  • wenn die Zertifizierungsstelle, welche das Signaturzertifikat ausgestellt hat, keinen Vertrauensstatus auf der ausstellenden Zertifizierungsstelle besitzt

Wichtig für das Verständnis ist hierbei auch, dass das Signaturzertifikat von einer anderen Zertifizierungsstelle ausgestellt sein kann. Es wird akzeptiert werden, solange es als vertrauenswürdig eingestuft wird.

Fehlercode CERTSRV_E_SIGNATURE_POLICY_REQUIRED

Tritt auf, wenn die Zertifikatvorlage verlangt, dass die Zertifikatanforderung eine Signatur eines Zertifikatregistrierungs-Agenten verlangt, die eingereichte Zertifikatanforderung eine solche jedoch nicht enthält.

Siehe auch Artikel "Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "The request is missing required signature policy information. 0x80094809 (-2146875383 CERTSRV_E_SIGNATURE_POLICY_REQUIRED)"".

Fehlercode CERTSRV_E_SUBJECT_DNS_REQUIRED

Tritt auf, wenn eine Zertifikatvorlage konfiguriert ist, den Subject Namen aus dem Active Directory zu bilden und den DNS-Namen des Antragstellers in das ausgestellte Zertifikat einzutragen. Die Fehlermeldung besagt, dass das beantragende Konto keinen DNS-Namen besitzt (dNSHostName Attribut auf dem Computerobjekt).

Tritt auch auch, wenn ein Administrator eine Zertifikatanforderung manuell gegen eine solche Zertifikatvorlage einreicht (ein Benutzerkonto besitzt kein dNSHostName Attribut).

Fehlercode CERT_E_INVALID_POLICY

Es wurde versucht, ein Zertifikat auszustellen, welches die Einschränkungen der Erweiterten Schlüsselverwendung des Zertifizierungsstellen-Zertifikats (Qualifizierte Subordinierung, auch Enhanced Key Usage Constraints) verletzt.

Das Zertifizierungsstellen-Zertifikat enthält eine Liste erlaubter Enhanced Key Usages, welche das gemeldete Enhanced Key Usage nicht enthält. Die Enhanced Key Usages werden aus der Zertifikatvorlage übernommen und überschreiben eventuelle Attribute in der Zertifikatanforderung.

Fehlercode ERROR_INVALID_TIME

Tritt auf, wenn das Flag EDITF_ATTRIBUTEENDDATE auf der Zertifizierungsstelle aktiviert ist, um Zertifikate mit verkürzter Gültigkeitdauer ausstellen zu können, und im Zertifikatantrag ein ungültiges Datum beantragt wurde.

Sicherheitsbewertung

Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).

Ereignisse mit Fehlercodes, die auf eine Fehlfunktion der Zertifizierungsstelle hinweisen, können ein Indiz für eine Beeinträchtigung der Verfügbarkeit sein.

Der Fehlercode CERT_E_INVALID_POLICY kann auf einen Angriffsversuch hindeuten und sollte eventuell alarmiert werden.

Bewertung durch Microsoft

Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Niedrig".

Weiterführende Links:

Externe Quellen

15 Gedanken zu „Details zum Ereignis mit ID 53 der Quelle Microsoft-Windows-CertificationAuthority“

Kommentare sind geschlossen.