Details zum Ereignis mit ID 97 der Quelle Microsoft-Windows-CertificationAuthority

Ereignisquelle:Microsoft-Windows-CertificationAuthority
Ereignis-ID:97 (0x61)
Ereignisprotokoll:Application
Ereignistyp:Warnung
Symbolischer Name:MSG_CLAMPED_BY_CA_CERT
Ereignistext (englisch):Active Directory Certificate Services %1 will reduce the maximum lifetime of the issued certificate for request %2 because the CA certificate lifetime is shorter than the registry validity period. Consider renewing the CA certificate or reducing the registry validity period.
Ereignistext (deutsch):Von Active Directory-Zertifikatdienste %1 wird die maximale Gültigkeitsdauer des ausgestellten Zertifikats für die Anforderung %2 reduziert, da die Gültigkeitsdauer des Zertifizierungsstellenzertifikats kürzer als die Registrierungsgültigkeitsdauer ist. Sie sollten das Zertifizierungsstellenzertifikat erneuern oder die Registrierungsgültigkeitsdauer verkürzen.

Parameter

Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:

  • %1: CACommonName (win:UnicodeString)
  • %2: RequestId (win:UnicodeString)

Beispiel-Ereignisse

Active Directory Certificate Services Fabrikam Issuing CA 1 will reduce the maximum lifetime of the issued certificate for request 12345 because the CA certificate lifetime is shorter than the registry validity period. Consider renewing the CA certificate or reducing the registry validity period.

Beschreibung

Dieses Ereignis tritt dann auf, wenn ein ausgestelltes Zertifikat nicht mehr die volle konfigurierte Gültigkeitsdauer erreichen kann, da es durch das Ablaufdatum des Zertifizierungsstellen-Zertifikats begrenzt wird.

Die Microsoft Zertifizierungsstelle ist nach dem Schalenmodell implementiert, d.h. kein ausgestelltes Zertifikat kann länger gültig sein als das übergeordnete Zertifizierungsstellen-Zertifikat.

Dieses Ereignis kann somit ein Indiz dafür sein, dass das Zertifizierungsstellen-Zertifikat dringend erneuert werden muss, oder die vorhandenen Zertifikatvorlagen auf eine neue Zertifizierungsstelle mit längerer Gültigkeitsdauer migriert werden müssen.

Das Ereignis tritt unabhängig von der in der Zertifikatvorlage konfigurierten Zertifikatgültigkeit auf. Es wird ausgelöst, wenn der in der Registrierung der Zertifizierungsstelle konfigurierte Wert ("ValidityPeriod" und "ValidityPeriodUnits") den verbleibenden Gültigkeitszeitraum übersteigt.

Das Ereignis tritt nur auf, wenn die Protokollierungsebene für das Ereignisprotokoll der betreffenden Zertifizierungsstelle auf 4 (CERTLOG_VERBOSE) oder höher eingestellt wurde.

Das Ereignis wurde auch schon als Fehlalarm in Korrelation zu Ereignis mit ID 77 der Quelle Microsoft-Windows-CertificationAuthority gesichtet.

Sicherheitsbewertung

Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).

Langfristig droht, dass keine neuen Zertifikate mehr ausgestellt werden können. Die Verfügbarkeit ist daher bedroht.

Bewertung durch Microsoft

Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Niedrig".

Weiterführende Links:

Externe Quellen

2 Gedanken zu „Details zum Ereignis mit ID 97 der Quelle Microsoft-Windows-CertificationAuthority“

Kommentare sind geschlossen.