Die Installation eines neuen Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlercode "ERROR_INVALID_PARAMETER"

Folgendes Szenario angenommen:

  • Für eine untergeordnete Zertifizierungsstelle wird ein neues Zertifizierungsstellen-Zertifikat beantragt und von der übergeordneten Zertifizierungsstelle ausgestellt.
  • Der Subject Distinguished Name (Subject DN) ist identisch zu dem des vorigen Zertifizierungsstellen-Zertifikats.
  • Dennoch schlägt die Installation des Zertifizierungsstellen-Zertifikats mit folgender Fehlermeldung fehl:
An error was detected while configuring Active Directory Certificate Services.
The Active Directory Certificate Services Setup Wizard will need to be rerun to complete the configuration.
The new certificate subject name does not exactly match the active CA name.
Renew with a new key to allow minor subject name changes: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER).

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden.

Bei der Installation eines Zertifizierungsstellen-Zertifikats vergleicht die Zertifizierungsstelle den Subject Distiguished Name (Subject DN) mit dem des vorigen Zertifizierungsstellen-Zertifikats.

Dies wird jedoch nicht als String-Vergleich, sondern als Vergleich der Prüfsummen (Name Hashes) durchgeführt, welche wiederum aus der binären Abbildung des Subject DN gebildet werden.

Wenn somit sich die Zeichenkodierung unterscheidet, beispielsweise weil sich auf der übergeordneten Zertifizierungsstelle das Verhalten für die Zeichenkodierung zwischenzeitlich geändert hat, schlägt die Installation des Zertifizierungsstellen-Zertifikats mit obiger Fehlermeldung fehl.

Das Verhalten der Zertifizierungsstelle entspricht exakt dem beim Herstellen einer Zertifikatkette (Name matching). Würde eine abweichende Zeichenkodierung erlaubt, könnten Probleme beim Herstellen der Zertifikatkette entstehen. Daher ist es unabdingbar, dass die Zeichenkodierung identisch zum vorigen Zertifizierungsstellen-Zertifikat bleibt.

Die Lösung besteht somit darin, das Zertifizierungsstellen-Zertifikat mit der gleichen Zeichenkodierung für den Subject DN wie zuvor auszustellen.

Eine weitere Lösung (nicht getestet/bestätigt) kann sein, die Erneuerung des Zertifizierungsstellen-Zertifikats unter Verwendung eines neuen Schlüsselpaares vorzunehmen.

Weiterführende Links:

2 Gedanken zu „Die Installation eines neuen Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlercode "ERROR_INVALID_PARAMETER"“

Kommentare sind geschlossen.

de_DEDeutsch