Details zum Ereignis mit ID 130 der Quelle Microsoft-Windows-CertificationAuthority

Ereignisquelle:Microsoft-Windows-CertificationAuthority
Ereignis-ID:130 (0x82)
Ereignisprotokoll:Application
Ereignistyp:Fehler
Symbolischer Name:MSG_E_CRL_CREATION
Ereignistext (englisch):Active Directory Certificate Services could not create a certificate revocation list. %1. This may cause applications that need to check the revocation status of certificates issued by this CA to fail. You can recreate the certificate revocation list manually by running the following command: "certutil -CRL". If the problem persists, restart Certificate Services.
Ereignistext (deutsch):Von den Active Directory-Zertifikatdiensten konnte keine Zertifikatssperrliste erstellt werden. %1. Dies kann dazu führen, dass bei Anwendungen, bei denen eine Überprüfung des Sperrstatus der von dieser Zertifizierungsstelle ausgestellten Zertifikate erforderlich ist, ein Fehler auftritt. Durch Ausführen des folgenden Befehls kann die Zertifikatssperrliste manuell neu erstellt werden: "certutil -CRL". Sollte das Problem bestehen bleiben, führen Sie einen Neustart der Zertifikatdienste durch.

Parameter

Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:

  • %1: ErrorMessageText (win:UnicodeString)

Beispiel-Ereignisse

Active Directory Certificate Services could not create a certificate revocation list. Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA).  This may cause applications that need to check the revocation status of certificates issued by this CA to fail. You can recreate the certificate revocation list manually by running the following command: "certutil -CRL". If the problem persists, restart Certificate Services.
Active Directory Certificate Services could not create a certificate revocation list. An internal consistency check failed. 0x8009002d (-2146893779 NTE_INTERNAL_ERROR). This may cause applications that need to check the revocation status of certificates issued by this CA to fail. You can recreate the certificate revocation list manually by running the following command: "certutil -CRL". If the problem persists, restart Certificate Services.
Active Directory Certificate Services could not create a certificate revocation list. An attempt was made to open a Certification Authority database session, but there are already too many active sessions. The server may need to be configured to allow additional sessions 0x8009400f (-2146877425). This may cause applications that need to check the revocation status of certificates issued by this CA to fail. You can recreate the certificate revocation list manually by running the following command: "certutil -CRL". If the problem persists, restart Certificate Services.

Beschreibung

Dieses Ereignis tritt auf, wenn die Zertifizierungsstelle eine Zertifikatsperrliste zu erzeugen versucht, dies aber nicht möglich ist.

Fehlercode NTE_BAD_DATA

Sofern ein SafeNet Hardware Security Modul (HSM) eingesetzt wird, kann dieser Fehler auftreten, wenn die Netzwerkverbindung zum HSM verlorengegangen ist und die Zertifizierungsstelle nicht mehr auf den privaten Schlüssel zugreifen kann.

Siehe Artikel "Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA)."".

Im gleichen Zusammenhang können auch die Ereignisse Nr. 86 und 88 auftreten.

Fehlercode NTE_INTERNAL_ERROR

In vielen Fällen ist die Ursache, dass nicht auf den privaten Schlüssel zugegriffen werden kann. Wird ein Hardware Security Modul (HSM) eingesetzt, deutet dies auf ein Problem mit diesem hin, beispielsweise:

  • Problem mit der Netzwerkverbindung zwischen Zertifizierungsstelle und HSM.
  • Problem mit dem auf der Zertifizierungsstelle installierten Key Storage Provider (KSP) des HSM (insbesondere wenn der Cavium Key Storage Provider des AWS CloudHSM eingesetzt wird).
  • Problem mit der Authentifizierung am HSM.
  • Ausfall des HSM.

Siehe hierzu auch Ereignisse 53 und 100.

Fehlercode CERTSRV_E_NO_DB_SESSIONS

Siehe Artikel "Die Ausstellung von Zertifikaten oder Sperrlisten schlägt fehl mit Fehlercode CERTSRV_E_NO_DB_SESSIONS".

Sicherheitsbewertung

Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).

Ist die Zertifizierungsstelle nicht in der Lage, eine Sperrliste zu erzeugen oder zu veröffentlichen, ist es hochwahrscheinlich, dass diese in kurzer Zeit auf den Verteilungspunkten ablaufen wird. In diesem Fall droht der Ausfall der von der PKI abhängigen IT-Dienste. Daher ist dieses Ereignis in Hinsicht auf die Verfügbarkeit als "kritisch" zu bewerten.

Des Weiteren sollte unbedingt ein Prozess für die Notall-Signierung von Sperrlisten etabliert werden, um bei einem Ausfall entsprechende Notfall-Maßnahmen ergreifen zu können.

Bewertung durch Microsoft

Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Niedrig".

Weiterführende Links:

Externe Quellen