Supposons le scénario suivant :
- Es wird ein Zertifizierungsstellen-Zertifikat von einer Zertifizierungsstelle beantragt
- Die Zertifikatanforderung schlägt mit folgender Fehlermeldung fehl:
The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)
Denied by Policy Module
Darüber hinaus protokolliert die Zertifizierungsstelle entsprechend das Ereignis mit Nr. 53:
Active Directory Certificate Services denied request 57 because The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE). The request was for CN=Invalid Path Length CA. Additional information: Denied by Policy Module
Causes possibles
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Grundsätzlich tritt dieser Fehler auf, wenn das Zertifizierungsstellen-Zertfikat eine Zertifikatrichtlinie (Issuance Policy) oder Einschränkung (Application Policy) oder eine Einschränkung der Pfadlänge (Path Length Constraint) aufweist, welche mit dem beantragten Zertifikat in Konflikt steht. Beispiele hierfür können sein:
- Das Zertifizierungsstellen-Zertifikat verfügt über einen Path Length Constraint und es wird ein untergeordnetes Zertifizierungsstellen-Zertifikat beantragt
- Die Zertifikatrichtlinie (Issuance Policy) auf einer Stammzertifizierungsstelle wurde bei Erneuerung des Zertifizierungsstellen-Zertifikats geändert
Details: Das Zertifizierungsstellen-Zertifikat verfügt über einen Path Length Constraint und es wird ein untergeordnetes Zertifizierungsstellen-Zertifikat beantragt
Dieser Fehler tritt auf, wenn das Zertifizierungsstellen-Zertifikat über eine Einschränkung der Pfad Länge (Path Length) Constraint mit dem Wert „0“ verfügt und es ihr somit nicht gestattet ist, Zertifizierungsstellen-Zertifikate auszustellen. Dieses Verhalten ist eine gewünschte Sicherheitsfunktion und kann darum nicht deaktiviert werden.
Voir aussi à ce sujet l'article "Principes de base : contrainte de longueur de chemin (Path Length Constraint)„ .
Details: Die Zertifikatrichtlinie (Issuance Policy) auf einer Stammzertifizierungsstelle wurde bei Erneuerung des Zertifizierungsstellen-Zertifikats geändert
Der Fehler kann bei einer Stammzertifizierungsstelle (engl. Root Certification Authority) auftreten, wenn deren Zertifizierungsstellen-Zertifikate erneuert wird, und dabei die Ausstellungsrichtlinie (Issuance Policy) über die capolicy.inf verändert wird.
Eine Stammzertifizierungsstelle wird bei Erneuerung des Zertifizierungsstellen-Zertifikats (wenn ein neues Schlüsselpaar generiert wurde) eine Kreuz-Signierung (Cross Certification) zwischen dem neuen und dem vorigen Zertifizierungsstellen-Zertifikat zu erstellen versuchen. Unterscheiden sich die Ausstellungs-Richtlinien der beiden Zertifikate, schlägt dies jedoch fehl.
Die Zertifizierungsstelle wird den Prozess bei jedem Dienststart erneut versuchen und scheitern, sodass immer wieder neue fehlgeschlagene Anforderungen generiert werden.
Ein interessantes Merkmal hierbei ist übrigens, dass die Zertifikatanforderung nicht eingesehen werden kann.
Dies wird auch in der Ereignisanzeige entsprechend mit dem Ereignis Nr. 102 abgebildet.
In diesem Fall bieten sich folgende Optionen zur Lösung an:
- Akzeptieren des Problems.
- Deaktivieren der Erzeugung der Kreuzzertifizierungsstellen-Zertifikate. Siehe hierzu Artikel „Deaktivieren der Erzeugung der Kreuzzertifizierungsstellen-Zertifikate„ .
- Beim Design einer Stammzertifizierungsstelle sollte überlegt werden, ob man überhaupt Ausstellungsrichtlinien in Stammzertifizierungsstellen-Zertifikate aufnehmen möchte.
Français 
Deutsch 
English
Les commentaires sont fermés.