Folgendes Szenario angenommen:
- Man versucht, auf einer Zertifizierungsstelle eine neue Zertifikatsperrliste (CRL) zu veröffentlichen
- Die Zertifizierungsstelle ist für die Veröffentlichung der Zertifikatsperrlisten ins Active Directory (LDAP CDP) konfiguriert.
- Die Veröffentlichung der Zertifikatsperrliste schlägt mit folgender Fehlermeldung fehl:
Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)
Mitunter ist es erforderlich, dass ein von einer Zertifizierungsstelle ausgestelltes Zertifikat bereits vor dessen Ablaufdatum aus dem Verkehr gezogen werden muss. Um dies zu ermöglichen, hält eine Zertifizierungsstelle eine Sperrliste vor. Hierbei handelt es sich um eine signierte Datei mit einem relativ kurzen Ablaufdatum, welches in Kombination mit dem Zertifikat zur Überprüfung der Gültigkeit herangezogen wird.
Auch in der Windows-Ereignisanzeige wird ein entsprechendes Ereignis protokolliert:
Active Directory Certificate Services could not publish a Base CRL for key 0 to the following location on server DC01.intra.adcslabor.de: ldap:///CN=ADCS Labor Issuing CA 1,CN=ADCS Labor Issuing CA 1,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de. Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS).
ldap: 0x32: LDAP_INSUFFICIENT_RIGHTS: 00002098: SecErr: DSID-03150F94, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
Ursache
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Wenn die Veröffentlichung einer Zertifikatsperrliste (Certificate Revocation List, CRL) mit dem Fehler ERROR_DS_INSUFF_ACCESS_RIGHTS fehlschlägt, bedeutet dies, dass die Zertifizierungsstelle keine Schreibrechte auf das entsprechende Objekt im Active Directory hat.
Die Schreibrechte auf LDAP-Sperrlistenverteilungspunkte werden über die Gruppe "Zertifikatherausgeber" (Cert Publishers) gesteuert.
Jede Active Directory integrierte Zertifizierungsstelle wird während der Rollenkonfiguration in diese Gruppe aufgenommen.
Zu beachten ist, dass die Zertifizierungsstelle im SYSTEM-Kontext des Computers läuft, auf welchem sie installiert ist. Dies bedeutet, dass Gruppenmitgliedschaften an Computerkonten erst nach einem Neustart der Zertifizierungsstelle wirksam werden. Entsprechend muss der Zertifizierungsstellen-Computer nach der Rollenkonfiguration einmal neu gestartet werden.
Weiterführende Links:
- Die Veröffentlichtung einer Zertifikatsperrliste (CRL) schlägt fehl mit der Fehlermeldung "Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND)"
- Veröffentlichen einer Zertifikatsperrliste auf einem Active Directory Sperrlistenverteilungspunkt
- Erstellen und Veröffentlichen einer Zertifikatsperrliste
4 Gedanken zu „Die Veröffentlichtung einer Zertifikatsperrliste (CRL) schlägt fehl mit der Fehlermeldung "Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)"“
Kommentare sind geschlossen.