Folgendes Szenario angenommen:
- Man erstellt eine neue Sperrliste auf der Zertifizierungsstelle.
- Die Zertifizierungsstelle ist konfiguriert, Sperrlisten in einen Netzwerkpfad zu veröffentlichen.
- Die Veröffentlichung schlägt mit folgender Fehlermeldung fehl:
Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
Mitunter ist es erforderlich, dass ein von einer Zertifizierungsstelle ausgestelltes Zertifikat bereits vor dessen Ablaufdatum aus dem Verkehr gezogen werden muss. Um dies zu ermöglichen, hält eine Zertifizierungsstelle eine Sperrliste vor. Hierbei handelt es sich um eine signierte Datei mit einem relativ kurzen Ablaufdatum, welches in Kombination mit dem Zertifikat zur Überprüfung der Gültigkeit herangezogen wird.
Die Zertifizierungsstelle wird, je nach Sperrlistentyp, die Ereignisse 65, 66, 74 oder 75 protokollieren.
Ursache
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Dieser Fehler deutet darauf hin, dass die Zertifizierungsstelle keine Schreibrechte auf dem Netzwerkpfad hat. Der Zertifizierungsstellen-Dienst läuft im Kontext NT-AUTORITÄT\SYSTEM, was auf Netzwerkebene vom Computerobjekt des Zertifizierungsstellen-Servers repräsentiert wird. Dieser benötigt Schreibzugriff auf die Netzwerkfreigabe und auf das darunterliegende Dateisystem.
Es bietet sich die Gruppe "Zertifikatherausgeber" (engl. "Cert Publishers") an, da Zertifizierungsstellen während der Rollen-Installation automatisch Mitglied dieser Sicherheitsgruppe werden.
Tritt auch auf, wenn die Sperrlistenfreigabe auf dem gleichen Server wie die Zertifizierungsstelle liegt und ein Netzwerkpfad für die Veröffentlichung konfiguriert wurde.
Ein Gedanke zu „Die Veröffentlichung einer Zertifikatsperrliste (CRL) schlägt fehl mit Fehlermeldung "Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)"“
Kommentare sind geschlossen.