| Ereignisquelle: | Microsoft-Windows-CertificationAuthority |
| Ereignis-ID: | 97 (0x61) |
| Ereignisprotokoll: | Application |
| Ereignistyp: | Warnung |
| Symbolischer Name: | MSG_CLAMPED_BY_CA_CERT |
| Ereignistext (englisch): | Active Directory Certificate Services %1 will reduce the maximum lifetime of the issued certificate for request %2 because the CA certificate lifetime is shorter than the registry validity period. Consider renewing the CA certificate or reducing the registry validity period. |
| Ereignistext (deutsch): | Von Active Directory-Zertifikatdienste %1 wird die maximale Gültigkeitsdauer des ausgestellten Zertifikats für die Anforderung %2 reduziert, da die Gültigkeitsdauer des Zertifizierungsstellenzertifikats kürzer als die Registrierungsgültigkeitsdauer ist. Sie sollten das Zertifizierungsstellenzertifikat erneuern oder die Registrierungsgültigkeitsdauer verkürzen. |
Parameter
Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:
- %1: CACommonName (win:UnicodeString)
- %2: RequestId (win:UnicodeString)
Beispiel-Ereignisse
Active Directory Certificate Services Fabrikam Issuing CA 1 will reduce the maximum lifetime of the issued certificate for request 12345 because the CA certificate lifetime is shorter than the registry validity period. Consider renewing the CA certificate or reducing the registry validity period.
Beschreibung
Dieses Ereignis tritt dann auf, wenn ein ausgestelltes Zertifikat nicht mehr die volle konfigurierte Gültigkeitsdauer erreichen kann, da es durch das Ablaufdatum des Zertifizierungsstellen-Zertifikats begrenzt wird.
Microsoft Active Directory Certificate Services ist nach dem Schalenmodell implementiert, d.h. kein ausgestelltes Zertifikat kann länger gültig sein als das übergeordnete Zertifizierungsstellen-Zertifikat.
Dieses Ereignis kann somit ein Indiz dafür sein, dass das Zertifizierungsstellen-Zertifikat dringend erneuert werden muss, oder die vorhandenen Zertifikatvorlagen auf eine neue Zertifizierungsstelle mit längerer Gültigkeitsdauer migriert werden müssen.
Das Ereignis tritt unabhängig von der in der Zertifikatvorlage konfigurierten Zertifikatgültigkeit auf. Es wird ausgelöst, wenn der in der Registrierung der Zertifizierungsstelle konfigurierte Wert ("ValidityPeriod" und "ValidityPeriodUnits") den verbleibenden Gültigkeitszeitraum übersteigt. Somit tritt das Ergebnis auch dann auf, wenn für die konkrete Zertifikatvorlage noch kein Problem besteht.
Das Ereignis tritt nur auf, wenn die Protokollierungsebene für das Ereignisprotokoll der betreffenden Zertifizierungsstelle auf 4 (CERTLOG_VERBOSE) oder höher eingestellt wurde.
Das Ereignis wurde auch schon als Fehlalarm in Korrelation zu Ereignis mit ID 77 der Quelle Microsoft-Windows-CertificationAuthority gesichtet.
Sicherheitsbewertung
Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).
Langfristig droht, dass keine neuen Zertifikate mehr ausgestellt werden können. Die Verfügbarkeit ist daher bedroht.
Bewertung durch Microsoft
Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Niedrig".
Weiterführende Links:
- Übersicht über die von der Zertifizierungsstelle generierten Windows-Ereignisse
- Übersicht über die von der Zertifizierungsstelle generierten Audit-Ereignisse
Deutsch 
English
2 Gedanken zu „Details zum Ereignis mit ID 97 der Quelle Microsoft-Windows-CertificationAuthority“
Kommentare sind geschlossen.