La demande de certificat d'autorité de certification échoue avec le message d'erreur „The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)“.“

Auteur Uwe GradeneggerPublié le Catégories Dépannage, Utilisation du certificat, Autorité de certificationÉtiquettes , ,

Supposons le scénario suivant :

  • Un certificat d'autorité de certification est demandé à une autorité de certification.
  • La demande de certificat échoue avec le message d'erreur suivant :
The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)
Denied by Policy Module

En outre, l'autorité de certification consigne en conséquence le Événement avec le n° 53:

Active Directory Certificate Services denied request 57 because The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE). The request was for CN=Invalid Path Length CA. Additional information: Denied by Policy Module

Causes possibles

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

En principe, cette erreur se produit lorsque le certificat d'autorité de certification présente une politique de certification (Issuance Policy) ou une restriction (Application Policy) ou une restriction de la longueur du chemin (Path Length Constraint) qui est en conflit avec le certificat demandé. Des exemples peuvent en être donnés :

  • Le certificat d'autorité de certification dispose d'une contrainte de longueur de chemin (path length constraint) et un certificat d'autorité de certification subordonné est demandé.
  • La politique de certification (Issuance Policy) d'une autorité de certification racine a été modifiée lors du renouvellement du certificat de l'autorité de certification.

Détails : le certificat d'autorité de certification dispose d'une contrainte de longueur de chemin (path length constraint) et un certificat d'autorité de certification subordonné est demandé.

Cette erreur se produit lorsque le certificat d'autorité de certification dispose d'une contrainte de longueur de chemin (Path Length) avec la valeur „0“ et qu'il n'est donc pas autorisé à émettre des certificats d'autorité de certification. Ce comportement est une fonction de sécurité souhaitée et ne peut donc pas être désactivé.

Voir aussi à ce sujet l'article "Principes de base : contrainte de longueur de chemin (Path Length Constraint)„ .

Détails : la politique de certification (Issuance Policy) sur une autorité de certification racine a été modifiée lors du renouvellement du certificat de l'autorité de certification.

L'erreur peut survenir dans une autorité de certification racine (Root Certification Authority) lorsque ses certificats d'autorité de certification sont renouvelés et que la politique d'émission (Issuance Policy) est modifiée via le capolicy.inf.

Lors du renouvellement du certificat d'autorité de certification (si une nouvelle paire de clés a été générée), une autorité de certification racine tentera de créer une certification croisée entre le nouveau et le précédent certificat d'autorité de certification. Si les politiques d'émission des deux certificats sont différentes, cela échouera.

L'autorité de certification réessaiera le processus à chaque démarrage de service et échouera, générant ainsi sans cesse de nouvelles demandes échouées.

Une caractéristique intéressante ici est d'ailleurs que la demande de certificat ne peut pas être consultée.

Ceci est également indiqué dans l'affichage des événements par le symbole Événement n° 102 représentée.

Dans ce cas, les options suivantes s'offrent à vous :

  • Accepter le problème.
  • Désactiver la génération des certificats d'autorités de certification croisées. Voir à ce sujet l'article „Désactivation de la génération des certificats d'autorité de certification croisée„ .
  • Lors de la conception d'une autorité de certification racine, il convient de se demander si l'on souhaite vraiment inclure des directives d'émission dans les certificats d'autorité de certification racine.

Liens complémentaires :

Les commentaires sont fermés.

fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais