| Source de l'événement : | Microsoft-Windows-CertificationAuthority |
| ID de l'événement : | 22 (0x16) |
| Journal des événements : | Application |
| Type d'événement : | Erreur |
| Nom symbolique : | MSG_E_PROCESS_REQUEST_FAILED_WITH_INFO |
| Texte de l'événement (en anglais) : | Les services de certificats Active Directory n'ont pas pu traiter la demande %1 en raison d'une erreur : %2. La demande concernait %3. Informations supplémentaires : %4 |
| Texte de l'événement (en allemand) : | La requête %1 n'a pas pu être exécutée en raison d'une erreur : %2. La requête concernait %3. Informations complémentaires : %4 |
Paramètres
Les paramètres contenus dans le texte d'événement sont remplis avec les champs suivants :
- %1 : RequestId (win:UnicodeString)
- %2: ErrorCode (win:UnicodeString)
- %3: SubjectName (win:UnicodeString)
- %4: AdditionalInformation (win:UnicodeString)
Exemple d'événements
Active Directory Certificate Services could not process request 16701 due to an error: The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT). The request was for C=CLIENT2, C=DE, OU=ADCS Labor, OU=IT, S=Bavaria. Additional information: Error Parsing Request
Active Directory Certificate Services could not process request 10 due to an error: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER). The request was for INTRA\CLIENT2$. Additional information: Error Cannot Process TPM Attestation
Active Directory Certificate Services could not process request 20 due to an error: Cannot archive private key. The certification authority could not verify one or more key recovery certificates. 0x8009400b (-2146877429 CERTSRV_E_NO_VALID_KRA). The request was for INTRA\rudi. Additional information: Error Archiving Private Key
Active Directory Certificate Services could not process request 77 due to an error: The system cannot find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND). The request was for CN=WEB01.intra.adcslabor.de. Additional information: Error Parsing Request
Active Directory Certificate Services could not process request 193 due to an error: The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE). The request was for CN=SCEP Test. Additional information: Error Verifying Request Signature or Signing Certificate
Active Directory Certificate Services could not process request 767 due to an error: A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA). The request was for INTRA\Administrator. Additional information: Error Verifying Request Signature or Signing Certificate
Active Directory Certificate Services could not process request 12345 due to an error: A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file. 0x800b0101 (-2146762495 CERT_E_EXPIRED). The request was for CN=Rudi Ratlos. Additional information: Error Verifying Request Signature or Signing Certificate
Active Directory Certificate Services could not process request 14 due to an error: A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file. 0x800b0101 (-2146762495 CERT_E_EXPIRED). The request was for CN=www.bla.de. Additional information: Error Parsing Request
Active Directory Certificate Services could not process request 110868 due to an error: ASN1 bad tag value met. 0x8009310b (ASN: 267 CRYPT_E_ASN1_BADTAG). The request was for INTRA\rudi. Additional information: Error Parsing Request
Active Directory Certificate Services could not process request 5 due to an error: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED). The request was for CN=Rudi Ratlos. Additional information: Error verifying access
Active Directory Certificate Services could not process request 12345 due to an error: A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING). The request was for CN=Rudi Ratlos. Additional information: Error Verifying Request Signature or Signing Certificate
Active Directory Certificate Services could not process request 12345 due to an error: A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT). The request was for CN=Rudi Ratlos. Additional information: Error Verifying Request Signature or Signing Certificate
Active Directory Certificate Services could not process request 12345 due to an error: The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK). The request was for CN=Rudi Ratlos. Additional information: Error Verifying Request Signature or Signing Certificate
Active Directory Certificate Services could not process request 111022 due to an error: ASN1 unexpected end of data. 0x80093102 (ASN: 258 CRYPT_E_ASN1_EOD). The request was for INTRA\rudi. Additional information: Error Parsing Request
Active Directory Certificate Services could not process request 531004 due to an error: Field length is greater than maximum 0xc80005e2 (ESE: -1506 JET_errColumnTooBig). The request was for INTRA\rudi. Additional information: Error Parsing Request
Description
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Bei diesem Ereignis sollte besonderes Augenmerk auf den im Ereignistext eingetragenen Fehlercode (Parameter %2, ErrorCode) gelegt werden:
Fehlercode CERTSRV_E_BAD_REQUESTSTATUS
Dieser Fehler tritt auf, wenn eine Zertifikatanforderung Key based Renewal versucht wird, aber das Flag EDITF_ENABLERENEWONBEHALFOF auf der Zertifizierungsstelle nicht gesetzt ist.
Fehlercode CERTSRV_E_BAD_REQUESTSUBJECT
Dieser Fehler tritt auf, wenn die Zertifizierungsstelle den Subject-Teil einer eingehenden Zertifikatanforderung nicht verifizieren kann. Siehe auch Artikel „Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)“„ .
- Wie im Beispiel-Ereignis zu sehen ist, wurde versehentlich die identität des Antragstellers nicht in das Common Name (CN) RDN eingetragen, sondern in Country (C). Das Country-Feld erlaubt jedoch nur zwei Ziffern (optimalerweise die nach ISO 3166 definierten Ländercodes), sodass der Zertifikatantrag durch die Zertifizierungsstelle nicht verarbeitet werden konnte und daher abgelehnt wurde.
- Es wurde ein unerlaubter Relative Distinguisghed Name (RDN) in das Subject der Zertifikatanforderung eingetragen.
- Das Feld Antragsteller (Subject) in der Zertifikatanforderung ist identisch mit dem der Zertifizierungsstelle.
- Ein im Feld Antragsteller (Subject) beantragte RDN (z.B. Common Name) ist länger als erlaubt. Siehe hierzu auch Artikel La demande de certificat échoue avec le message d'erreur "Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)"..
Fehlercode ERROR_INVALID_PARAMETER
Dieser Fehler kann auftreten, wenn ein Windows 10 Client ein Zertifikat mit Trusted Platform Module (TPM) Key Attestation von einer Windows Server 2012 R2 Zertifizierungsstelle beziehen möchte. Der Fehler wurde mit dem KB3154769 behoben, welcher im Juni 2016 update Rollup für Windows RT 8.1, Windows 8.1 und Windows Server 2012 R2 beinhaltet ist.
Fehlercode CERTSRV_E_NO_VALID_KRA
Fehlercode ERROR_FILE_NOT_FOUND
Voir l'article "Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „The system cannot find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)“„ .
Fehlercode CERT_E_UNTRUSTEDCA
Fehlercode CRYPT_E_NO_REVOCATION_CHECK
Tritt auf, wenn der Sperrstatus des Zertifizierungsstellen-Zertifikats nicht geprüft werden kann, z.B. weil die Sperrliste nicht verfügbar oder abgelaufen ist.
Tritt auf, wenn die Autoenrollment-Berechtigung auf einer Zertifikatvorlage für die OCSP-Antwortsignatur gesetzt ist und somit Zertifikatanforderungen mit einem OCSP-Antwortsignaturzertifikat signiert werden. Die Sperrstatusprüfung ist dann nicht möglich, da diese Zertifikate keine Sperrstatusinformationen beinhalten. Siehe Artikel „Zertifikatanforderungen für den Onlineresponder (OCSP) schlagen sporadisch fehl mit Fehlermeldung „The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)“„ .
Fehlercode CRYPT_E_ASN1_BADTAG
Tritt auf, wenn die eingereichte Zertifikatanforderung nicht verarbeitet werden konnte, also höchstwahrscheinlich ungültige Daten anstelle einer Zertifikatanforderung an die Zertifizierungsstelle gesendet wurden.
Fehlercode CRYPT_E_ASN1_EOD
Siehe Fehlercode CRYPT_E_ASN1_BADTAG.
Fehlercode ERROR_ACCESS_DENIED
Tritt beispielsweise auf, wenn ein Zertifikat abgerufen werden soll, das nicht durch das anfragende Konto beantragt wurde. Dies kann auf einen Angriffsversuch hinweisen und sollte, wenn es häufiger auftritt, unter Umständen alarmiert werden.
Fehlercode ESE: -1506 JET_errColumnTooBig
Diese Fehlermeldung tritt auf, wenn die eingereichte Zertifikatanforderung zu groß ist. Die Zertifizierungsstellen-Datenbank kann nur Zertifikatanforderungen bis zu einer bestimmten Größe abspeichern.
Beispielsweise ist die Größe aller Zertifikaterweiterungen zusammen auf 4096 Byte beschränkt. Ein Zertifikatantrag, der viele Alternative Antragstellernamen (engl. Subject Alternative Name, SAN) beinhaltet, kann diese Grenze bereits sprengen.
Évaluation de la sécurité
L'approche de la sécurité est axée sur les trois dimensions de la confidentialité (Confidentiality), de l'intégrité (Integrity) et de la disponibilité (Availability).
Aucune description n'a encore été rédigée à ce sujet.
Évaluation par Microsoft
Microsoft évalue cet événement dans le Sécurisation de l'infrastructure à clés publiques (PKI) Livre blanc avec un niveau de gravité „Faible.
Liens complémentaires :
- Aperçu des événements Windows générés par l'autorité de certification
- Aperçu des événements d'audit générés par l'organisme de certification
- Noms distinctifs relatifs (RDN) autorisés dans le Subject Distinguished Name (DN) des certificats délivrés
- Le schéma de la base de données des organismes de certification
- Combien de noms alternatifs (Subject Alternative Name, SAN) sont pris en charge par Active Directory Certificate Services ?
Sources externes
- Event ID 22 – AD CS Certificate Request (Enrollment) Processing (Microsoft)
- Sécurisation de l'infrastructure à clés publiques (PKI) (Microsoft)
- ISO-3166-1-Kodierliste (Wikipedia)
Français 
Deutsch 
English
Les commentaires sont fermés.