Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)“

Supposons le scénario suivant :

Une autorité de certification est mise en œuvre sur le réseau.
Le service d'autorité de certification ne démarre pas
Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :

The parameter is incorrect. 0x57 (WIN32: 87 ERROR_INVALID_PARAMETER)

Un programme correspondant Événement avec le n° 100 se trouve également dans l'observateur d'événements de l'autorité de certification :

Active Directory Certificate Services did not start: Could not load or verify the current CA certificate. FabrikamRootCA The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER).

Cause

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

In der Regel liegt der Fehler darin begründet, dass es ein Problem mit dem CACertHash Registrierungswert der Zertifizierungsstelle gibt.

Celui-ci se trouve dans le chemin suivant :

HKLM\System\CurrentControlSet\Services\CertSvc\Configuration\{Common-Name-der-Zertifizierungsstelle}

CACertHash enthält ungültige Thumbprints

Der Fehler kann auftreten, wenn der CACertHash Wert ungülltige (z.B: unvollständige) Thumbprints enthält.

CACertHash enthält verstecktes Steuerzeichen

Der Fehler trat im Beispiel auf, da der Registry-Wert CACertHash nicht gelesen werden konnte. Hier wurde ein Thumbprint-Wert ausgewechselt, und dabei ein unsichtbares Zeichen mit in den Registry-Wert „CACertHash“ hinein kopiert.

Überprüfen kann man dies mit folgendem Kommandozeilenbefehl:

certutil -getreg CA\CaCertHash

Beim Kopieren des Thumbprint aus dem Zertifikats-Dialog schleicht sich oft ein Leerzeichen ein, das man weder in Regedit noch im Texteditor sieht.

Es ist daher ratsam, den Thumbprint bei einer solchen Operation abzutippen oder aus einer anderen Quelle, beispielsweise der Windows PowerShell zu ermitteln. In der Windows PowerShell ist dies mit dem Get-ChildItem Befehl möglich.

Für Maschinen-Zertifikate:

Get-ChildItem -Path Cert:\LocalMachine\My

Für Benutzer-Zertifikate:

Get-ChildItem -Path Cert:\CurrentUser\My

Liens complémentaires :

Den Signaturalgorithmus einer Zertifizierungsstellen-Hierarchie ändern, ohne neue Zertifizierungsstellen-Zertifikate auszustellen