Détails de l'événement avec ID 130 de la source Microsoft-Windows-CertificationAuthority

Source de l'événement :	Microsoft-Windows-CertificationAuthority
ID de l'événement :	130 (0x82)
Journal des événements :	Application
Type d'événement :	Erreur
Nom symbolique :	MSG_E_CRL_CREATION
Texte de l'événement (en anglais) :	Active Directory Certificate Services n'a pas pu créer de liste de révocation de certificats. %1. Cela peut provoquer l'échec des applications qui ont besoin de vérifier l'état de révocation des certificats émis par cette CA. Vous pouvez recréer manuellement la liste de révocation des certificats en exécutant la commande suivante : „certutil -CRL“. Si le problème persiste, redémarrez Certificate Services.
Texte de l'événement (en allemand) :	Aucune liste de révocation de certificats n'a pu être créée par les services de certificats Active Directory. %1. Cela peut entraîner une erreur dans les applications qui nécessitent une vérification de l'état de révocation des certificats émis par cette autorité de certification. Il est possible de recréer manuellement la liste de révocation des certificats en exécutant la commande suivante : „certutil -CRL“. Si le problème persiste, redémarrez les services de certification.

Paramètres

Les paramètres contenus dans le texte d'événement sont remplis avec les champs suivants :

• %1: ErrorMessageText (win:UnicodeString)

Exemple d'événements

Active Directory Certificate Services could not create a certificate revocation list. Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA).  This may cause applications that need to check the revocation status of certificates issued by this CA to fail. You can recreate the certificate revocation list manually by running the following command: "certutil -CRL". If the problem persists, restart Certificate Services.

Active Directory Certificate Services could not create a certificate revocation list. An internal consistency check failed. 0x8009002d (-2146893779 NTE_INTERNAL_ERROR). This may cause applications that need to check the revocation status of certificates issued by this CA to fail. You can recreate the certificate revocation list manually by running the following command: "certutil -CRL". If the problem persists, restart Certificate Services.

Active Directory Certificate Services could not create a certificate revocation list. An attempt was made to open a Certification Authority database session, but there are already too many active sessions. The server may need to be configured to allow additional sessions 0x8009400f (-2146877425). This may cause applications that need to check the revocation status of certificates issued by this CA to fail. You can recreate the certificate revocation list manually by running the following command: "certutil -CRL". If the problem persists, restart Certificate Services.

Description

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Dieses Ereignis tritt auf, wenn die Zertifizierungsstelle eine Zertifikatsperrliste zu erzeugen versucht, dies aber nicht möglich ist.

Fehlercode NTE_BAD_DATA

Sofern ein SafeNet Hardware Security Modul (HSM) eingesetzt wird, kann dieser Fehler auftreten, wenn die Netzwerkverbindung zum HSM verlorengegangen ist und die Zertifizierungsstelle nicht mehr auf den privaten Schlüssel zugreifen kann.

Voir l'article "Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA).“„ .

Im gleichen Zusammenhang können auch die Ereignisse Nr. 86 et 88 auftreten.

Fehlercode NTE_INTERNAL_ERROR

In vielen Fällen ist die Ursache, dass nicht auf den privaten Schlüssel zugegriffen werden kann. Wird ein Hardware Security Modul (HSM) eingesetzt, deutet dies auf ein Problem mit diesem hin, beispielsweise:

• Problem mit der Netzwerkverbindung zwischen Zertifizierungsstelle und HSM.
• Problem mit dem auf der Zertifizierungsstelle installierten Fournisseur de stockage clé (KSP) des HSM (insbesondere wenn der Cavium Key Storage Provider des AWS CloudHSM eingesetzt wird).
• Problem mit der Authentifizierung am HSM.
• Ausfall des HSM.

Siehe hierzu auch Ereignisse 53 et 100.

Fehlercode CERTSRV_E_NO_DB_SESSIONS

Voir l'article "L'émission de certificats ou de listes de révocation échoue avec le code d'erreur CERTSRV_E_NO_DB_SESSIONS„ .

Évaluation de la sécurité

L'approche de la sécurité est axée sur les trois dimensions de la confidentialité (Confidentiality), de l'intégrité (Integrity) et de la disponibilité (Availability).

Ist die Zertifizierungsstelle nicht in der Lage, eine Sperrliste zu erzeugen oder zu veröffentlichen, ist es hochwahrscheinlich, dass diese in kurzer Zeit auf den Verteilungspunkten ablaufen wird. In diesem Fall droht der Ausfall der von der PKI abhängigen IT-Dienste. Daher ist dieses Ereignis in Hinsicht auf die Verfügbarkeit als „kritisch“ zu bewerten.

Des Weiteren sollte unbedingt ein Prozess für die Notall-Signierung von Sperrlisten etabliert werden, um bei einem Ausfall entsprechende Notfall-Maßnahmen ergreifen zu können.

Évaluation par Microsoft

Microsoft évalue cet événement dans le Sécurisation de l'infrastructure à clés publiques (PKI) Livre blanc avec un niveau de gravité „Faible.

Liens complémentaires :

• Aperçu des événements Windows générés par l'autorité de certification
• Aperçu des événements d'audit générés par l'organisme de certification

Sources externes

• Event ID 130 – AD CS Certificate Revocation List (CRL) Publishing (Microsoft)
• Sécurisation de l'infrastructure à clés publiques (PKI) (Microsoft)