Détails de l'événement ID 53 de la source Microsoft-Windows-CertificationAuthority

Auteur Uwe GradeneggerPublié le Catégories Événements, Autorité de certificationÉtiquettes , , , , , , ,
Source de l'événement :Microsoft-Windows-CertificationAuthority
ID de l'événement :53 (0x35)
Journal des événements :Application
Type d'événement :Avertissement
Nom symbolique :MSG_DN_CERT_DENIED_WITH_INFO
Texte de l'événement (en anglais) :Les services de certificats Active Directory ont refusé la demande %1 en raison de %2. La demande concernait %3. Informations supplémentaires : %4
Texte de l'événement (en allemand) :La demande %1 a été rejetée car %2. La demande concernait %3. Informations complémentaires : %4

Paramètres

Les paramètres contenus dans le texte d'événement sont remplis avec les champs suivants :

  • %1 : RequestId (win:UnicodeString)
  • %2 : Raison (win : UnicodeString)
  • %3 : SubjectName (win:UnicodeString)
  • %4 : AdditionalInformation (win:UnicodeString)

Exemple d'événements

Active Directory Certificate Services denied request 146 because The public key does not meet the minimum size required by the specified certificate template. 0x80094811 (-2146875375 CERTSRV_E_KEY_LENGTH).  The request was for CN=TestNDESCert.  Additional information: Denied by Policy Module
Active Directory Certificate Services denied request 168 because The permissions on the certificate template do not allow the current user to enroll for this type of certificate. 0x80094012 (-2146877422 CERTSRV_E_TEMPLATE_DENIED). The request was for INTRA\WEB01$. Additional information: Denied by Policy Module
Active Directory Certificate Services denied request 799 because An internal error occurred. 0x80090020 (-2146893792 NTE_FAIL).  The request was for INTRA\CLIENT01$.  Additional information: Error Constructing or Publishing Certificate
Active Directory Certificate Services denied request 798 because Invalid Signature. 0x80090006 (-2146893818 NTE_BAD_SIGNATURE).  The request was for INTRA\CLIENT01$.  Additional information: Error Constructing or Publishing Certificate
Active Directory Certificate Services denied request 797 because The security token does not have storage space available for an additional container. 0x80090023 (-2146893789 NTE_TOKEN_KEYSET_STORAGE_FULL).  The request was for INTRA\CLIENT01$.  Additional information: Error Constructing or Publishing Certificate
Active Directory Certificate Services denied request 795 because The device that is required by this cryptographic provider is not ready for use. 0x80090030 (-2146893776 NTE_DEVICE_NOT_READY).  The request was for INTRA\CLIENT01$.  Additional information: Error Constructing or Publishing Certificate
Active Directory Certificate Services denied request 788 because Incorrect password. 0x80090033 (-2146893773 NTE_INCORRECT_PASSWORD).  The request was for INTRA\CLIENT01$.  Additional information: Error Constructing or Publishing Certificate
Active Directory Certificate Services denied request 782 because The signature of the certificate cannot be verified. 0x80096004 (-2146869244 TRUST_E_CERT_SIGNATURE).  The request was for INTRA\CLIENT01$.  Additional information: Error Constructing or Publishing Certificate
Active Directory Certificate Services denied request 777 because The parameter is incorrect. 0x80090027 (-2146893785 NTE_INVALID_PARAMETER).  The request was for INTRA\CLIENT01$.  Additional information: Error Constructing or Publishing Certificate
Active Directory Certificate Services denied request 356 because An attempt was made to open a Certification Authority database session, but there are already too many active sessions. The server may need to be configured to allow additional sessions. 0x8009400f (-2146877425 CERTSRV_E_NO_DB_SESSIONS). The request was for INTRA\CLIENT1$. Additional information: Denied by Policy Module
Active Directory Certificate Services denied request 838 because Bad Length. 0x80090004 (-2146893820 NTE_BAD_LEN). The request was for INTRA\CLIENT01$. Additional information: Error Constructing or Publishing Certificate
Active Directory Certificate Services denied request 34 because The certificate has invalid policy. 0x800b0113 (-2146762477 CERT_E_INVALID_POLICY).  The request was for INTRA\CLIENT4$.  Additional information: Error Constructing or Publishing Certificate  Invalid Issuance Policies:  1.3.6.1.4.1.311.21.31
Active Directory Certificate Services denied request 12 because The request does not support private key attestation as defined in the certificate template. 0x8009481a (-2146875366 CERTSRV_E_KEY_ATTESTATION). The request was for INTRA\CLIENT01$. Additional information: Denied by Policy Module
Active Directory Certificate Services denied request 157 because The request contains no certificate template information. 0x80094801 (-2146875391 CERTSRV_E_NO_CERT_TYPE). The request was for CN=WEB02. Additional information: Denied by Policy Module 0x80094801, The request does not contain a certificate template extension or the CertificateTemplate request attribute.
Active Directory Certificate Services denied request 152 because The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE). The request was for O=ADCS Labor, CN=www.adcslabor.de. Additional information: Denied by Policy Module 0x80094800, The request was for a certificate template that is not supported by the Active Directory Certificate Services policy: 1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.14577106.8832112(ADCS Labor Web Server).
Active Directory Certificate Services denied request 165405 because The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE). The request was for INTRA\DC01$. Additional information: Denied by Policy Module
Active Directory Certificate Services denied request 57 because The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE). The request was for CN=Invalid Path Length CA. Additional information: Denied by Policy Module
Active Directory Certificate Services denied request 8 because The certificate template renewal period is longer than the certificate validity period. The template should be reconfigured or the CA certificate renewed. 0x80094814 (-2146875372 CERTSRV_E_CERT_TYPE_OVERLAP). The request was for CN=Rudi Ratlos. Additional information: Denied by Policy Module Renewing a certificate with the ADCSLaborBenutzer2 Certificate Template failed because the renewal overlap period is longer than the certificate validity period.
Active Directory Certificate Services denied request 699 because The request is missing a required private key for archival by the server. 0x80094804 (-2146875388 CERTSRV_E_ARCHIVED_KEY_REQUIRED). The request was for CN=Testuser, E=testuser@adcslabor.de. Additional information: Denied by Policy Module
Active Directory Certificate Services denied request 110791 because One or more signatures did not include the required application or issuance policies. The request is missing one or more required valid signatures. 0x8009480b (-2146875381 CERTSRV_E_SIGNATURE_REJECTED).  The request was for CN=www.bla.de.  Additional information: Denied by Policy Module  0x8009480b, The ADCSLaborWebServer Certificate Template requires 1 signatures, but only 0 were accepted.
Active Directory Certificate Services denied request 110823 because The request is missing required signature policy information. 0x80094809 (-2146875383 CERTSRV_E_SIGNATURE_POLICY_REQUIRED).  The request was for CN=Peter Pan.  Additional information: Denied by Policy Module
Active Directory Certificate Services denied request 12345 because Write lock failed due to outstanding write lock 0xc800044e (ESE: -1102 JET_errWriteConflict).  The request was for INTRA\rudi.  Additional information: Denied by Policy Module  Resubmitted by INTRA\Administrator
Active Directory Certificate Services denied request 525317 because The specified time is invalid. 0x8007076d (WIN32: 1901 ERROR_INVALID_TIME).  The request was for CN=somewebsite.intra.adcslabor.de.  Additional information: Denied by Policy Module
Active Directory Certificate Services denied request 821 because The DNS name is unavailable and cannot be added to the Subject Alternate name. 0x8009480f (-2146875377 CERTSRV_E_SUBJECT_DNS_REQUIRED).  The request was for CN=pki.adcslabor.de.  Additional information: Denied by Policy Module  Resubmitted by INTRA\Administrator
Active Directory Certificate Services denied request 12345 because The specified server cannot perform the requested operation. 0x8007003a (WIN32: 58 ERROR_BAD_NET_RESP). The request was for INTRA\rudi. Additional information: Denied by Policy Module 0x8007003a, The Active Directory containing the Certification Authority could not be contacted.
Active Directory Certificate Services denied request 1234 because An internal consistency check failed. 0x8009002d (-2146893779 NTE_INTERNAL_ERROR). The request was for INTRA\CLIENT01$. Additional information: Error Constructing or Publishing Certificate
Active Directory Certificate Services denied request 12345 because Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA). The request was for CN=Rudi Ratlos. Additional information: Error Constructing or Publishing Certificate Resubmitted by INTRA\Administrator
Active Directory Certificate Services denied request 12345 because The EMail name is unavailable and cannot be added to the Subject or Subject Alternate name. 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED). The request was for INTRA\rudi. Additional information: Denied by Policy Module
Active Directory Certificate Services denied request 7040 because The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER).  CN=WEB01.intra.adcslabor.de.  Additional information: Denied by Policy Module
Active Directory Certificate Services denied request 12345 because The request contains conflicting template information. 0x80094802 (-2146875390 CERTSRV_E_TEMPLATE_CONFLICT). The request was for CN=test.adcslabor.de. Additional information: Denied by Policy Module 0x80094802, The request specifies conflicting certificate templates: 1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.4136173.9322655(ADCSLaborWebServer)/ADCSLaborWebServer.
Active Directory Certificate Services denied request 1049 because The user name or password is incorrect. 0x8007052e (WIN32: 1326 ERROR_LOGON_FAILURE).  The request was for INTRA\WEB02$.  Additional information: Denied by Policy Module  0x8007052e, Active Directory Certificate Services could not connect to the global catalog server.  CN=WEB02,OU=Server,OU=ADCSLabor Computer,DC=intra,DC=adcslabor,DC=de

Description

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Codes d'erreur qui font généralement partie du fonctionnement normal de l'autorité de certification :

  • La clé publique ne respecte pas la taille minimale requise par le modèle de certificat spécifié. 0x80094811 (-2146875375 CERTSRV_E_KEY_LENGTH).
  • Les permissions sur le modèle de certificat n'autorisent pas l'utilisateur actuel à s'inscrire pour ce type de certificat. 0x80094012 (-2146877422 CERTSRV_E_TEMPLATE_DENIED).
  • The request contains no certificate template information. 0x80094801 (-2146875391 CERTSRV_E_NO_CERT_TYPE).
  • Le modèle de certificat demandé n'est pas supporté par cette AC. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE).
  • The request contains conflicting template information. 0x80094802 (-2146875390 CERTSRV_E_TEMPLATE_CONFLICT).
  • La demande ne contient pas la clé privée requise pour l'archivage par le serveur. 0x80094804 (-2146875388 CERTSRV_E_ARCHIVED_KEY_REQUIRED).
  • Le nom DNS est indisponible et ne peut pas être ajouté au nom alternatif du sujet. 0x8009480f (-2146875377 CERTSRV_E_SUBJECT_DNS_REQUIRED)

Codes d'erreur pouvant indiquer une mauvaise configuration de l'autorité de certification :

  • Le certificat a une politique invalide. 0x800b0113 (-2146762477 CERT_E_INVALID_POLICY).
  • La requête ne prend pas en charge l'attestation de clé privée telle que définie dans le modèle de certificat. 0x8009481a (-2146875366 CERTSRV_E_KEY_ATTESTATION).
  • Le serveur RPC est indisponible. 0x800706ba (WIN32 : 1722 RPC_S_SERVER_UNAVAILABLE).
  • La période de renouvellement du modèle de certificat est plus longue que la période de validité du certificat. Le modèle doit être reconfiguré ou le certificat CA renouvelé. 0x80094814 (-2146875372 CERTSRV_E_CERT_TYPE_OVERLAP).

Codes d'erreur pouvant indiquer une mauvaise configuration d'Active Directory, du réseau ou des modèles de certificats :

  • Le nom de l'e-mail est indisponible et ne peut pas être ajouté au nom alternatif du sujet ou du sujet. 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED).
  • La demande ne contient pas les informations de politique de signature requises. 0x80094809 (-2146875383 CERTSRV_E_SIGNATURE_POLICY_REQUIRED).
  • Le serveur spécifié ne peut pas effectuer l'opération demandée. 0x8007003a (WIN32 : 58 ERROR_BAD_NET_RESP).
  • Mot de passe incorrect. 0x80090033 (-2146893773 NTE_INCORRECT_PASSWORD).
  • Le nom d'utilisateur ou le mot de passe est incorrect. 0x8007052e (WIN32 : 1326 ERROR_LOGON_FAILURE).

Codes d'erreur pouvant indiquer un dysfonctionnement de l'autorité de certification :

  • Le certificat de l'autorité de certification contient des données invalides. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE).
  • Une erreur interne s'est produite. 0x80090020 (-2146893792 NTE_FAIL).
  • Signature invalide. 0x80090006 (-2146893818 NTE_BAD_SIGNATURE).
  • Le jeton de sécurité ne dispose pas d'espace de stockage disponible pour un conteneur supplémentaire. 0x80090023 (-2146893789 NTE_TOKEN_KEYSET_STORAGE_FULL).
  • Le périphérique requis par ce fournisseur cryptographique n'est pas prêt à être utilisé. 0x80090030 (-2146893776 NTE_DEVICE_NOT_READY)
  • La signature du certificat ne peut pas être vérifiée. 0x80096004 (-2146869244 TRUST_E_CERT_SIGNATURE).
  • Le paramètre est incorrect. 0x80090027 (-2146893785 NTE_INVALID_PARAMETER).
  • Une tentative a été faite pour ouvrir une session de base de données de l'autorité de certification, mais il y a déjà trop de sessions actives. Le serveur doit peut-être être configuré pour autoriser des sessions supplémentaires. 0x8009400f (-2146877425 CERTSRV_E_NO_DB_SESSIONS).
  • Bad Length. 0x80090004 (-2146893820 NTE_BAD_LEN).
  • Mauvaises données. 0x80090005 (-2146893819 NTE_BAD_DATA).

Souvent, la cause est un dysfonctionnement du module de sécurité matériel.

Code d'erreur NTE_BAD_DATA

Dans la mesure où un module matériel de sécurité (HSM) SafeNet est utilisé, cette erreur peut se produire si la connexion réseau au HSM est perdue et que l'autorité de certification ne peut plus accéder à la clé privée.

Voir l'article "La demande de certificat échoue avec le message d'erreur „ Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA). “„ .

Dans le même contexte, les événements n. 86, 88 et 130 apparaître.

Code d'erreur CERTSRV_E_TEMPLATE_CONFLICT

Se produit lorsque la demande de certificat soumise contient une extension „Certificate Template Information“ qui détermine un modèle de certificat à émettre, mais que un autre modèle de certificat est sélectionné lors de la soumission de la demande de certificat.

Code d'erreur CERTSRV_E_TEMPLATE_DENIED

Se produit lorsque l'utilisateur ou l'ordinateur demandeur n'est pas autorisé à demander un certificat pour ce modèle de certificat.

Cela peut également se produire en cas d'auto-enrôlement ou de demande via la Microsoft Management Console (MMC), si l'autorisation de demander est accordée via un groupe de sécurité et si l'utilisateur ou l'ordinateur qui demande la licence ne s'est pas encore reconnecté depuis son inclusion dans le groupe (pour les ordinateurs, cela nécessite un redémarrage).

La raison en est que le contrôle de l'autorisation côté client s'effectue à l'aide d'une requête de répertoire, mais que l'authentification proprement dite s'effectue par ticket Kerberos, dans lequel l'appartenance à un groupe n'est pas encore représentée.

Code d'erreur CERTSRV_E_NO_CERT_TYPE

Cette erreur se produit, si une demande de certificat a été envoyée à l'autorité de certification, mais qu'aucune indication n'a été donnée sur le modèle de certificat souhaité.

Le modèle de certificat est une donnée obligatoire. Il doit être indiqué soit via un attribut dans la demande de certificat, soit lors de la transmission.

Lors de la transmission de la demande de certificat à l'aide de certreq.exe, la demande de certificat souhaitée peut être indiquée avec l'argument -attrib :

certreq -attrib "CertificateTemplate:{Name-der-Zertifikatvorlage}" -submit {Zertifikatanforderung}.req

Code d'erreur CERTSRV_E_UNSUPPORTED_CERT_TYPE

Cette erreur se produit lorsqu'une demande de certificat a été envoyée à l'autorité de certification, qui contient un attribut pour le modèle de certificat ou qui a été transmis lors de la transmission de la demande de certificat., mais que celui-ci est erroné (par ex. faute de frappe) ou que le modèle de certificat souhaité n'a pas été publié sur cette autorité de certification (par ex. parce que la demande de certificat a été envoyée à la mauvaise autorité de certification).

Se produit également lorsque l'autorité de certification n'a pas de droit de lecture sur un modèle de certificat publié. Par défaut, l'autorité de certification obtient le droit de lecture par l'entrée „Authenticated Users“ dans les paramètres de sécurité du modèle de certificat.

Code d'erreur CERTSRV_E_KEY_LENGTH

Cette erreur se produit lorsque la longueur de la clé au sein de la demande de certificat est inférieure à la taille minimale définie dans le modèle de certificat. Cela peut notamment se produire pour les demandes de certificat générées manuellement.

La solution consiste à choisir une taille de clé appropriée dès le dépôt de la demande et donc dès la génération de la paire de clés. Une autre solution consiste à réduire la taille de la clé dans le modèle de certificat. A noter, que l'algorithme de clé utilisé n'est pas vérifié par le module Policy de l'autorité de certification, c'est-à-dire qu'un modèle de certificat avec une longueur de clé réduite, qui accepte aussi bien les clés RSA que les clés ECC, est techniquement réalisable.

Code d'erreur CERTSRV_E_KEY_ATTESTATION

Cette erreur se produit lorsque Attestation de clé du module TPM (Trusted Platform Module) est configuré et qu'une demande de certificat est reçue pour laquelle soit aucune clé d'endossement correspondante, soit aucun certificat d'autorité de certification correspondant au certificat d'endossement n'est déposé sur l'autorité de certification. Voir également l'article „Configuration de l'attestation de clé du module TPM (Trusted Platform Module)„ .

Code d'erreur RPC_S_SERVER_UNAVAILABLE

Cette erreur se produit lorsqu'un certificat est demandé pour un contrôleur de domaine, que le modèle de certificat contient le drapeau CT_FLAG_SUBJECT_ALT_REQUIRE_DOMAIN_DNS et que l'autorité de certification ne peut pas se connecter au contrôleur de domaine concerné via RPC Named Pipes. Voir l'article „La demande de certificat pour les contrôleurs de domaine échoue avec le message d'erreur "The RPC server is unavailable. 0x800706ba (WIN32 : 1722 RPC_S_SERVER_UNAVAILABLE)".„ .

Code d'erreur CERT_E_INVALID_POLICY

Cette erreur se produit lorsque la demande de certificat ou le modèle de certificat contient une utilisation de clé étendue (Extended Key Usage, EKU) ou une politique d'émission (Issuance Policy) qui n'est pas autorisée pour l'autorité de certification - c'est-à-dire que l'OID de politique demandé n'est pas présent dans le certificat de l'autorité de certification et ne peut donc pas être émis par celle-ci.

Cela peut notamment se produire dans les cas suivants :

Code d'erreur CERTSRV_E_INVALID_CA_CERTIFICATE

En principe, cette erreur se produit lorsque le certificat d'autorité de certification présente une politique de certification (Issuance Policy) ou une restriction (Application Policy) ou une restriction de la longueur du chemin (Path Length Constraint) qui est en conflit avec le certificat demandé. Des exemples peuvent en être donnés :

  • Le certificat d'autorité de certification dispose d'une contrainte de longueur de chemin (path length constraint) et un certificat d'autorité de certification subordonné est demandé.
  • La politique de certification (Issuance Policy) d'une autorité de certification racine a été modifiée lors du renouvellement du certificat de l'autorité de certification.

Voir l'article "La demande d'un certificat d'autorité de certification échoue avec le message d'erreur „ Le certificat de l'autorité de certification contient des données non valides. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE) “.“„ .

Code d'erreur NTE_INTERNAL_ERROR

Se produit notamment lorsqu'il y a un problème d'accès à une clé privée de l'autorité de certification (par exemple, en cas de problèmes avec un module de sécurité matériel, en particulier lorsque le fournisseur de stockage de clés Cavium du AWS CloudHSM est utilisé).

Voir également Événements 100 et 130.

Code d'erreur CERTSRV_E_SUBJECT_EMAIL_REQUIRED

Se produit lorsque le modèle de certificat sous-jacent est configuré pour écrire une adresse électronique dans le sujet du certificat émis, mais que le compte d'utilisateur demandeur ne possède pas d'adresse électronique enregistrée dans Active Directory.

Cela peut notamment se produire pour les comptes administratifs, car ils n'ont souvent pas d'adresse e-mail configurée. S'il y a un modèle de certificat qui a configuré l'ajout d'une adresse e-mail, il y aura toujours (selon les règles de l'administrateur) un message d'erreur. Processus d'auto-enrôlement) tente de demander un certificat, ce qui échouera et entraînera donc (selon le nombre de comptes concernés) un une énorme croissance de la base de données des organismes de certification peut entraîner.

Code d'erreur CERTSRV_E_NO_DB_SESSIONS

Se produit lorsqu'il y a trop de connexions simultanées à la base de données de l'autorité de certification - généralement parce qu'un grand nombre de demandes de certificats sont traitées.

Voir l'article "L'émission de certificats ou de listes de révocation échoue avec le code d'erreur CERTSRV_E_NO_DB_SESSIONS„ .

Peut également indiquer une attaque par déni de service (DoS).

Code d'erreur JET_errWriteConflict

Se produit lorsqu'il y a trop de connexions simultanées à la base de données de l'autorité de certification - généralement parce qu'un grand nombre de demandes de certificats sont traitées.

Voir également le code d'erreur CERTSRV_E_NO_DB_SESSIONS.

Pour plus d'informations, voir l'article „L'émission de certificats ou de listes de révocation échoue avec le code d'erreur CERTSRV_E_NO_DB_SESSIONS„ .

Peut également indiquer une attaque par déni de service (DoS).

Code d'erreur CERTSRV_E_CERT_TYPE_OVERLAP

Se produit lorsque le renouvellement du certificat d'autorité de certification n'a pas été effectué à temps. Vers la fin de la validité du certificat d'autorité de certification, les certificats délivrés sont limités dans leurs périodes de validité (voir Événement n° 97) et, en fin de compte, on demande des certificats dont la durée de validité serait plus courte que la période de renouvellement configurée dans le modèle de certificat (si celle-ci dépassait la validité restante du certificat de l'autorité de certification).

Code d'erreur CERTSRV_E_SIGNATURE_REJECTED

Se produit lorsqu'un modèle de certificat nécessite une signature (onglet Issuance Requirements) et que celle-ci ne peut pas être vérifiée, par exemple...

  • si l'autorité de certification qui a délivré le certificat de signature n'est pas autorisée à utiliser la clé étendue ou la politique d'émission (par exemple en raison de restrictions dans le certificat de l'autorité de certification)
  • si l'autorité de certification qui a délivré le certificat de signature ne dispose pas d'un statut de confiance sur l'autorité de certification émettrice

Il est également important pour la compréhension que le certificat de signature peut être délivré par une autre autorité de certification. Il sera accepté tant qu'il sera jugé digne de confiance.

Code d'erreur CERTSRV_E_SIGNATURE_POLICY_REQUIRED

Se produit lorsque le modèle de certificat exige que la demande de certificat requière la signature d'un agent d'enregistrement de certificats, mais que la demande de certificat soumise ne contient pas une telle signature.

Voir aussi l'article "La demande de certificat échoue avec le message d'erreur „The request is missing required signature policy information. 0x80094809 (-2146875383 CERTSRV_E_SIGNATURE_POLICY_REQUIRED)“.“„ .

Code d'erreur CERTSRV_E_SUBJECT_DNS_REQUIRED

Se produit lorsqu'un modèle de certificat (généralement pour les certificats d'ordinateur) est configuré, le Subject Distinguished Name ou le Nom alternatif du sujet (SAN) à partir de l'Active Directory et d'inscrire le nom DNS du demandeur dans le certificat délivré. Le message d'erreur indique que le demandeur n'a pas de nom DNS (le dNSHostName attribut sur l'objet Active Directory n'est pas renseigné).

Se produit également lorsqu'un administrateur soumet manuellement une demande de certificat par rapport à un tel modèle de certificat (un compte d'utilisateur ne possède généralement pas d'attribut dNSHostName).

Code d'erreur CERT_E_INVALID_POLICY

On a essayé de délivrer un certificat qui Limitations de l'utilisation de la clé étendue du certificat d'autorité de certification (Subordination qualifiée, également Extended Key Usage Constraints) sont violées.

Le certificat de l'autorité de certification contient une liste d'Extended Key Usages autorisés que l'Extended Key Usage signalé ne contient pas. Les Extended Key Usages sont repris du modèle de certificat et remplacent les éventuels attributs dans la demande de certificat.

Code d'erreur ERROR_INVALID_TIME

Se produit lorsque le drapeau EDITF_ATTRIBUTEENDDATE est activé sur l'autorité de certification pour de pouvoir délivrer des certificats avec une durée de validité réduite, et qu'une date non valable a été demandée dans la demande de certificat.

Évaluation de la sécurité

L'approche de la sécurité est axée sur les trois dimensions de la confidentialité (Confidentiality), de l'intégrité (Integrity) et de la disponibilité (Availability).

Les événements comportant des codes d'erreur indiquant un dysfonctionnement de l'autorité de certification peuvent être l'indice d'une dégradation de la disponibilité.

Le code d'erreur CERT_E_INVALID_POLICY peut indiquer une tentative d'attaque et doit éventuellement faire l'objet d'une alerte.

Évaluation par Microsoft

Microsoft évalue cet événement dans le Sécurisation de l'infrastructure à clés publiques (PKI) Livre blanc avec un niveau de gravité „Faible.

Liens complémentaires :

Sources externes

Les commentaires sont fermés.

fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais