Details zum Ereignis mit ID 65 der Quelle Microsoft-Windows-CertificationAuthority

Source de l'événement :	Microsoft-Windows-CertificationAuthority
ID de l'événement :	65 (0x41)
Journal des événements :	Application
Type d'événement :	Erreur
Nom symbolique :	MSG_E_BASE_CRL_PUBLICATION
Texte de l'événement (en anglais) :	Active Directory Certificate Services could not publish a Base CRL for key %1 to the following location: %2. %3.%5%6
Texte de l'événement (en allemand) :	Es konnte keine Basis-Zertifikatsperrliste für den Schlüssel %1 an folgendem Ort veröffentlicht werden: %2. %3.%5%6

Paramètres

Les paramètres contenus dans le texte d'événement sont remplis avec les champs suivants :

• %1: CAKeyIdentifier (win:UnicodeString)
• %2: URL (win:UnicodeString)
• %3: ErrorMessageText (win:UnicodeString)
• %4: param4 (win:UnicodeString)
• %5: param5 (win:UnicodeString)
• %6: AdditionalErrorMessage (win:UnicodeString)

Exemple d'événements

Active Directory Certificate Services could not publish a Base CRL for key 0 to the following location: file://\\WEB01.intra.adcslabor.de\pki$\crl\ADCS Labor Enterprise Root CA.crl.  Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED).

Active Directory Certificate Services could not publish a Base CRL for key 0 to the following location: \\WEB01.intra.adcslabor.de\pki$\crl\ADCS Labor Issuing CA 1.crl. The directory name is invalid. 0x8007010b (WIN32/HTTP: 267 ERROR_DIRECTORY)

Active Directory Certificate Services could not publish a Base CRL for key 0 to the following location: c:\windows\system32\CertSrv\CertEnroll\DB-Issuing-CA1-1-11.crl.  Cannot create a file when that file already exists. 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS).

Description

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Dieses Ereignis tritt dann auf, wenn die Zertifikatsperrliste zwar erfolgreich erzeugt werden konnte, anschließend aber nicht auf einen der konfigurierten Sperrlistenverteilpunkte kopiert werden konnte. In der Regel tritt es zusammen mit den Ereignissen 66, 74 et 75 auf.

Der Zertifizierungsstellen-Prozess wird nach 10 Minuten erneut die Veröffentlichung versuchen.

Ursachen hierfür können sein:

• Der Server, auf welchem der Sperrlistenverteilpunkt eingerichtet ist, ist nicht erreichbar.
• Die Zertifizierungsstelle hat nicht die Berechtigungen auf die eingerichtete Freigabe oder den LDAP-Pfad. In der Standardeinstellung ist der Server, auf welchem die Zertifizierungsstelle installiert ist, Mitglied der Gruppe „Cert Publishers“. Da die Gruppenmitgliedschaft erst bei einer Neuanmeldung des Kontos (im Fall der Zertifizierungsstelle: SYSTEM) angewendet wird, muss der Server, auf welchem die Zertifizierungsstelle installiert ist nach der Installation einmalig neu gestartet werden.

Fehlercode ERROR_DIRECTORY

Voir l'article "La publication d'une liste de révocation de certificats (CRL) échoue avec le message d'erreur "The directory name is invalid. 0x8007010b (WIN32/HTTP : 267 ERROR_DIRECTORY)"„ .

Fehlercode ERROR_ALREADY_EXISTS

Tritt auf, wenn die zu schreibende Datei bereits vorhanden ist und die Zertifizierungsstelle keine Schreibrechte auf der Datei hat. Dies kann beispielsweise nach der Migration d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) vers un autre serveur auftreten, wenn das alte Computerobjekt der Besitzer der Datei ist.

Tritt wahrscheinlich auch dann auf, wenn die Sperrlistendatei (diese muss im Zuge der Veröffentlichung überschrieben werden) aktuell von einem anderen Prozess (beispielsweise Upload der Sperrliste auf ein anderes System) gesperrt ist.

Évaluation de la sécurité

L'approche de la sécurité est axée sur les trois dimensions de la confidentialité (Confidentiality), de l'intégrité (Integrity) et de la disponibilité (Availability).

Ist die Zertifizierungsstelle nicht in der Lage, eine Sperrliste zu erzeugen oder zu veröffentlichen, ist es hochwahrscheinlich, dass diese in kurzer Zeit auf den Verteilungspunkten ablaufen wird. In diesem Fall droht der Ausfall der von der PKI abhängigen IT-Dienste. Daher ist dieses Ereignis in Hinsicht auf die Verfügbarkeit als „kritisch“ zu bewerten.

Évaluation par Microsoft

Microsoft évalue cet événement dans le Sécurisation de l'infrastructure à clés publiques (PKI) Livre blanc avec un niveau de gravité „Faible.

Liens complémentaires :

• Aperçu des événements Windows générés par l'autorité de certification
• Aperçu des événements d'audit générés par l'organisme de certification

Sources externes

• Event ID 65 – AD CS Certificate Revocation List (CRL) Publishing (Microsoft)
• Sécurisation de l'infrastructure à clés publiques (PKI) (Microsoft)