L'installation d'une autorité de certification échoue avec le code d'erreur „Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA)“.“

Auteur Uwe GradeneggerPublié le Catégories Dépannage, Autorité de certificationÉtiquettes , ,

Supposons le scénario suivant :

  • Tentative d'installation d'une autorité de certification
  • La configuration des rôles échoue avec le message d'erreur suivant :
An error occurred when creating the new key container "ADCS Labor Issuing CA 3". Please make sure the CSP is installed correctly or select another CSP.
Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA).

L'organisme de certification va Événement n° 5 enregistrer.

Cause

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Peut survenir lorsqu'un module matériel de sécurité (HSM) SafeNet est utilisé et que la paire de clés ne peut pas être générée.

Les causes possibles peuvent être

  • L'utilisateur qui installe le rôle d'autorité de certification ne dispose d'aucune autorisation sur la partition.
  • La politique de partitionnement pour la partition HSM doit autoriser les clés à usage multiple („Allow multipurpose keys“).
  • Si le code d'erreur „CKR_PIN_EXPIRED“ est consigné dans le fichier LunaKSP.log (fichier journal du fournisseur de stockage de clés Safenet), le mot de passe initial pour la partition doit être modifié pour le crypto officier.

Veuillez noter que le nom d'utilisateur doit être saisi en respectant les majuscules et les minuscules lors de l'attribution des autorisations au fournisseur de stockage de clés. Le nom de domaine doit être écrit en majuscules.

Nouvelle tentative

Une fois que la cause sous-jacente a été éliminée, la configuration des rôles peut être réessayée.

Toutefois, le rôle d'autorité de certification doit d'abord être désinstallé avant de tenter une nouvelle configuration de rôle.

Il peut également être nécessaire de supprimer l'enregistrement de l'autorité de certification avant de réinstaller le rôle d'autorité de certification. Une erreur consécutive peut être qu'aucun modèle de certificat ne puisse être publié après la configuration correcte du rôle. Voir l'article „Après l'installation ou la migration d'une autorité de certification sur un nouveau serveur, il n'est plus possible de publier ses propres modèles de certificats." pour plus d'informations.

Liens complémentaires :

Sources externes

Les commentaires sont fermés.

fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais