La publication d'une liste de révocation de certificats (CRL) échoue avec le message d'erreur "Access is denied. 0x80070005 (WIN32 : 5 ERROR_ACCESS_DENIED)".

Auteur Uwe GradeneggerPublié le Catégories DépannageÉtiquettes ,

Supposons le scénario suivant :

  • On crée une nouvelle liste de blocage sur l'autorité de certification.
  • L'autorité de certification est configurée pour publier des listes de révocation dans un chemin réseau.
  • La publication échoue avec le message d'erreur suivant :
Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)

Il est parfois nécessaire qu'un certificat délivré par une autorité de certification soit retiré avant sa date d'expiration. Pour ce faire, une autorité de certification tient à jour une liste de révocation. Il s'agit d'un fichier signé avec une date d'expiration relativement courte, qui est utilisé en combinaison avec le certificat pour vérifier sa validité.

Selon le type de liste de révocation, l'autorité de certification va enregistrer les événements 65, 66, 74 ou 75 enregistrer.

Cause

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Cette erreur indique que l'autorité de certification n'a pas de droits d'écriture sur le chemin réseau. Le service de l'autorité de certification s'exécute dans le contexte NT-AUTORITÉ\SYSTÈME, qui est représenté au niveau du réseau par l'objet ordinateur du serveur de l'autorité de certification. Celui-ci a besoin d'un accès en écriture sur le partage réseau et sur le système de fichiers sous-jacent.

Le groupe "Émetteurs de certificats" (en anglais "Cert Publishers") s'impose, car les autorités de certification deviennent automatiquement membres de ce groupe de sécurité lors de l'installation des rôles.

Se produit également lorsque le partage de la liste de révocation se trouve sur le même serveur que l'autorité de certification et qu'un chemin réseau a été configuré pour la publication.

Liens complémentaires :

Les commentaires sont fermés.

fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais