| Source de l'événement : | Microsoft-Windows-CertificationAuthority |
| ID de l'événement : | 22 (0x16) |
| Journal des événements : | Application |
| Type d'événement : | Erreur |
| Nom symbolique : | MSG_E_PROCESS_REQUEST_FAILED_WITH_INFO |
| Texte de l'événement (en anglais) : | Les services de certificats Active Directory n'ont pas pu traiter la demande %1 en raison d'une erreur : %2. La demande concernait %3. Informations supplémentaires : %4 |
| Texte de l'événement (en allemand) : | La requête %1 n'a pas pu être exécutée en raison d'une erreur : %2. La requête concernait %3. Informations complémentaires : %4 |
Paramètres
Les paramètres contenus dans le texte d'événement sont remplis avec les champs suivants :
- %1 : RequestId (win:UnicodeString)
- %2 : Code d'erreur (win : UnicodeString)
- %3 : SubjectName (win:UnicodeString)
- %4 : AdditionalInformation (win:UnicodeString)
Exemple d'événements
Active Directory Certificate Services could not process request 16701 due to an error: The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT). The request was for C=CLIENT2, C=DE, OU=ADCS Labor, OU=IT, S=Bavaria. Additional information: Error Parsing Request
Active Directory Certificate Services could not process request 10 due to an error: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER). The request was for INTRA\CLIENT2$. Additional information: Error Cannot Process TPM Attestation
Active Directory Certificate Services could not process request 20 due to an error: Cannot archive private key. The certification authority could not verify one or more key recovery certificates. 0x8009400b (-2146877429 CERTSRV_E_NO_VALID_KRA). The request was for INTRA\rudi. Additional information: Error Archiving Private Key
Active Directory Certificate Services could not process request 77 due to an error: The system cannot find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND). The request was for CN=WEB01.intra.adcslabor.de. Additional information: Error Parsing Request
Active Directory Certificate Services could not process request 193 due to an error: The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE). The request was for CN=SCEP Test. Additional information: Error Verifying Request Signature or Signing Certificate
Active Directory Certificate Services could not process request 767 due to an error: A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA). The request was for INTRA\Administrator. Additional information: Error Verifying Request Signature or Signing Certificate
Active Directory Certificate Services could not process request 12345 due to an error: A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file. 0x800b0101 (-2146762495 CERT_E_EXPIRED). The request was for CN=Rudi Ratlos. Additional information: Error Verifying Request Signature or Signing Certificate
Active Directory Certificate Services could not process request 14 due to an error: A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file. 0x800b0101 (-2146762495 CERT_E_EXPIRED). The request was for CN=www.bla.de. Additional information: Error Parsing Request
Active Directory Certificate Services could not process request 110868 due to an error: ASN1 bad tag value met. 0x8009310b (ASN: 267 CRYPT_E_ASN1_BADTAG). The request was for INTRA\rudi. Additional information: Error Parsing Request
Active Directory Certificate Services could not process request 5 due to an error: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED). The request was for CN=Rudi Ratlos. Additional information: Error verifying access
Active Directory Certificate Services could not process request 12345 due to an error: A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING). The request was for CN=Rudi Ratlos. Additional information: Error Verifying Request Signature or Signing Certificate
Active Directory Certificate Services could not process request 12345 due to an error: A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT). The request was for CN=Rudi Ratlos. Additional information: Error Verifying Request Signature or Signing Certificate
Active Directory Certificate Services could not process request 12345 due to an error: The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK). The request was for CN=Rudi Ratlos. Additional information: Error Verifying Request Signature or Signing Certificate
Active Directory Certificate Services could not process request 111022 due to an error: ASN1 unexpected end of data. 0x80093102 (ASN: 258 CRYPT_E_ASN1_EOD). The request was for INTRA\rudi. Additional information: Error Parsing Request
Active Directory Certificate Services could not process request 531004 due to an error: Field length is greater than maximum 0xc80005e2 (ESE: -1506 JET_errColumnTooBig). The request was for INTRA\rudi. Additional information: Error Parsing Request
Description
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Pour cet événement, il convient de prêter une attention particulière au code d'erreur saisi dans le texte d'événement (paramètre %2, ErrorCode) :
Code d'erreur CERTSRV_E_BAD_REQUESTSTATUS
Cette erreur se produit lorsqu'une demande de certificat Key based Renewal est tentée, mais que le drapeau EDITF_ENABLERENEWONBEHALFOF n'est pas activé sur l'autorité de certification.
Code d'erreur CERTSRV_E_BAD_REQUESTSUBJECT
Cette erreur se produit lorsque l'autorité de certification ne peut pas vérifier la partie „Subject„ d'une demande de certificat entrante. Voir aussi l'article "La demande de certificat échoue avec un message d'erreur ".„Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)“„ .
- Comme on peut le voir dans l'exemple d'événement, l'identité du demandeur a été saisie par erreur dans le champ Country (C) et non dans le champ Common Name (CN) RDN. Le champ Country mais n'autorise que deux chiffres (de manière optimale, la liste de contrôle établie après les codes de pays définis dans la norme ISO 3166), de sorte que la demande de certificat n'a pas pu être traitée par l'autorité de certification et a donc été refusée.
- Un nom distinctif relatif (RDN) non autorisé inscrit dans le Subject de la demande de certificat.
- Le champ Demandeur (Subject) dans la demande de certificat est identique à celui de l'autorité de certification.
- Un RDN (par ex. nom commun) demandé dans le champ Demandeur (Subject) est plus longtemps qu'autorisé. Voir aussi l'article La demande de certificat échoue avec le message d'erreur "Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)"..
Code d'erreur ERROR_INVALID_PARAMETER
Cette erreur peut se produire lorsqu'un client Windows 10 souhaite obtenir un certificat avec attestation de clé Trusted Platform Module (TPM) auprès d'une autorité de certification Windows Server 2012 R2. L'erreur a été corrigée par le KB3154769, qui a été publié dans le Juin 2016 update Rollup pour Windows RT 8.1, Windows 8.1 et Windows Server 2012 R2 est inclus.
Code d'erreur CERTSRV_E_NO_VALID_KRA
Code d'erreur ERROR_FILE_NOT_FOUND
Voir l'article "La demande de certificat échoue avec le message d'erreur „ Le système ne trouve pas le fichier spécifié. 0x80070002 (WIN32 : 2 ERROR_FILE_NOT_FOUND) “.“„ .
Code d'erreur CERT_E_UNTRUSTEDCA
Code d'erreur CRYPT_E_NO_REVOCATION_CHECK
Se produit lorsque l'état de révocation du certificat d'autorité de certification ne peut pas être vérifié, par exemple parce que la liste de révocation n'est pas disponible ou a expiré.
Se produit lorsque l'autorisation d'auto-enroulement est définie sur un modèle de certificat pour la signature de réponse OCSP et que, par conséquent, des demandes de certificat sont signées avec un certificat de signature de réponse OCSP. Le contrôle du statut de la révocation n'est alors pas possible, car ces certificats ne contiennent pas d'informations sur le statut de la révocation. Voir l'article „Les demandes de certificat pour le répondeur en ligne (OCSP) échouent sporadiquement avec le message d'erreur „ La fonction de révocation n'a pas pu vérifier la révocation du certificat. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK) “.“„ .
Code d'erreur CRYPT_E_ASN1_BADTAG
Se produit lorsque la demande de certificat soumise n'a pas pu être traitée, c'est-à-dire qu'il est fort probable que des données non valides aient été envoyées à l'autorité de certification au lieu d'une demande de certificat.
Code d'erreur CRYPT_E_ASN1_EOD
Voir le code d'erreur CRYPT_E_ASN1_BADTAG.
Code d'erreur ERROR_ACCESS_DENIED
Se produit par exemple lorsqu'un certificat qui n'a pas été demandé par le compte demandeur doit être récupéré. Cela peut indiquer une tentative d'attaque et, si cela se produit fréquemment, il convient éventuellement de donner l'alerte.
Code d'erreur ESE : -1506 JET_errColumnTooBig
Ce message d'erreur apparaît lorsque la demande de certificat soumise est trop importante. La base de données de l'autorité de certification ne peut stocker que des demandes de certificat d'une certaine taille..
Par exemple, la taille de toutes les extensions de certificat réunies est limitée à 4096 octets. Une demande de certificat contenant de nombreux noms alternatifs (Subject Alternative Name, SAN) peut déjà dépasser cette limite.
Évaluation de la sécurité
L'approche de la sécurité est axée sur les trois dimensions de la confidentialité (Confidentiality), de l'intégrité (Integrity) et de la disponibilité (Availability).
Aucune description n'a encore été rédigée à ce sujet.
Évaluation par Microsoft
Microsoft évalue cet événement dans le Sécurisation de l'infrastructure à clés publiques (PKI) Livre blanc avec un niveau de gravité „Faible.
Liens complémentaires :
- Aperçu des événements Windows générés par l'autorité de certification
- Aperçu des événements d'audit générés par l'organisme de certification
- Noms distinctifs relatifs (RDN) autorisés dans le Subject Distinguished Name (DN) des certificats délivrés
- Le schéma de la base de données des organismes de certification
- Combien de noms alternatifs (Subject Alternative Name, SAN) sont pris en charge par Active Directory Certificate Services ?
Français 
Deutsch 
English
Les commentaires sont fermés.