| Ereignisquelle: | Microsoft-Windows-CertificationAuthority |
| Ereignis-ID: | 96 (0x60) |
| Ereignisprotokoll: | Application |
| Ereignistyp: | Fehler |
| Symbolischer Name: | MSG_E_CANNOT_CREATE_XCHG_CERT |
| Ereignistext (englisch): | Active Directory Certificate Services could not create an encryption certificate. %1. %2. |
| Ereignistext (deutsch): | Von Active Directory-Zertifikatdienste konnte kein Verschlüsselungszertifikat erstellt werden. %1. %2. |
Parameter
Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:
- %1: Disposition (win:UnicodeString)
- %2: ErrorCode (win:UnicodeString)
Beispiel-Ereignisse
Active Directory Certificate Services could not create an encryption certificate. Requested by INTRA\Administrator. The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE).
Active Directory Certificate Services could not create an encryption certificate. Requested by INTRA\Administrator. A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file. 0x800b0101 (-2146762495 CERT_E_EXPIRED).
Active Directory Certificate Services could not create an encryption certificate. Requested by INTRA\Administrator. The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK).
Active Directory Certificate Services could not create an encryption certificate. Requested by INTRA\rudi Invalid Application Policies: 1.3.6.1.4.1.311.21.5. The certificate has invalid policy. 0x800b0113 (-2146762477 CERT_E_INVALID_POLICY).
Beschreibung
Tritt auf, wenn die Zertifizierungsstelle kein Zertifikat für den Zertifizierungsstellen-Austausch (CA Exchange) Zertifikat ausstellen kann. In den meisten Fällen deutet dies auf ein Problem mit der Zertifizierungsstelle hin.
Fehlercode CERT_E_INVALID_POLICY
Bitte beachten, dass die Erstellung eines Zertifizierungsstellen-Austauschzertifikats von jedem authentifizierten Benutzer im Netzwerk angefordert werden kann. Beispielsweise fragt die Unternehmens-PKI (Enterprise PKI, pkiview.msc) Managementkonsole ein solches Zertifikat an, um die Zertifizierungsstellenhierarchie abzubilden.
Daher sollte beim Grundlagen: Einschränken der erweiterten Schlüsselverwendung (Extended Key Usage, EKU) in Zertifizierungsstellen-Zertifikaten immer das "Private Key Archival" Enhanced Key Usage mit in die Liste der erlaubten EKUs für das Zertifizierungsstellen-Zertifikat aufgenommen werden, damit die Zertifikate für den Zertifizierungsstellen-Austausch korrekt ausgestellt werden können.
Sicherheitsbewertung
Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).
Das Ereignis kann ein Hinweis darauf sein, dass die Verfügbarkeit des des Zertifizierungsstellendienstes beeinträchtigt ist oder bald sein wird. Daher sollte eine Alarmierung ausgelöst werden.
Bewertung durch Microsoft
Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Niedrig".
Weiterführende Links:
- Übersicht über die von der Zertifizierungsstelle generierten Windows-Ereignisse
- Übersicht über die von der Zertifizierungsstelle generierten Audit-Ereignisse
- Grundlagen: Einschränken der erweiterten Schlüsselverwendung (Extended Key Usage, EKU) in Zertifizierungsstellen-Zertifikaten
Externe Quellen
- Event ID 96 – AD CS Key Archival and Recovery (Microsoft)
- Securing Public Key Infrastructure (PKI) (Microsoft)
Deutsch 
English
2 Gedanken zu „Details zum Ereignis mit ID 96 der Quelle Microsoft-Windows-CertificationAuthority“
Kommentare sind geschlossen.