La demande de certificat échoue avec le message d'erreur „ Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA). “

Auteur Uwe GradeneggerPublié le Catégories Dépannage, Autorité de certificationÉtiquettes , ,

Supposons le scénario suivant :

  • Un utilisateur envoie une demande de certificat à une autorité de certification.
  • La demande de certificat échoue avec le message d'erreur suivant :
Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA).
Denied by Policy Module.

L'organisme de certification va Événement n° 53 avec le même code d'erreur. Dans le même contexte, les événements n°. 86, 88 et 130 apparaître.

Active Directory Certificate Services denied request 12345 because Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA). The request was for CN=Rudi Ratlos. Additional information: Error Constructing or Publishing Certificate Resubmitted by INTRA\Administrator

Dans certains cas, l'autorité de certification n'enregistrera pas d'événement. Ce comportement a été observé, par exemple, dans le cas d'une autorité de certification hors ligne lors de la soumission de la demande de certificat via la console MMC de l'autorité de certification.

Une demande de certificat via VMware AirWatch/Workspace One renvoie également le même code d'erreur :

COMException while submitting enroll request: Bad Data. (Exception from HRESULT: 0x80090005)

Effet secondaire : il n'est également plus possible d'établir des listes de blocage.

Cela aussi Émission de listes de certificats révoqués sur l'organisme de certification n'est très probablement plus possible non plus.

Si l'autorité de certification n'est plus en mesure d'émettre des listes de révocation, la PKI risque de subir une défaillance grave, car à l'expiration de la liste de révocation précédente, la validité des certificats déjà émis ne pourra plus être vérifiée. Ce problème doit donc être traité en priorité ou reporté à Listes de blocage d'urgence être utilisé.

Cause

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Dans le cas présent, un module de sécurité matériel (HSM) SafeNet a été utilisé.

L'erreur peut notamment se produire,

  • si la connexion réseau au module de sécurité matériel a été interrompue et qu'il n'est pas possible d'accéder à la clé privée.
  • si les autorisations sur l'emplacement du HSM ne sont plus correctes.
  • le mot de passe pour l'emplacement ou la partition a été modifié et n'a pas été réenregistré auprès de l'autorité de certification.

Voir également le fichier LunaKSP.log dans le répertoire du système d'exploitation :

ERROR, No registered slots/partitions were found for the user NETWORK SERVICE@NT AUTHORITY!!

De même, s'il est activé, le journal HA. Les mots-clés sont les suivants :

  • abandonné
  • hors ligne
  • impossible de joindre le membre

Solution

Dans la plupart des cas, il suffit de redémarrer le service d'autorité de certification.

Redémarrage du service d'autorité de certification peut échouer avec le code d'erreur RPC_S_DUPLICATE_ENDPOINT, si le délai d'attente entre l'arrêt et le démarrage du service n'est pas suffisamment long.

Dans certains cas, il ne suffira pas de redémarrer uniquement le service d'autorité de certification, mais il faudra redémarrer l'ensemble du serveur.

Les commentaires sont fermés.

fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais