Details zum Ereignis mit ID 100 der Quelle Microsoft-Windows-CertificationAuthority

Ereignisquelle:Microsoft-Windows-CertificationAuthority
Ereignis-ID:100 (0x64)
Ereignisprotokoll:Application
Ereignistyp:Fehler
Symbolischer Name:MSG_E_CA_CERT_INVALID
Ereignistext (englisch):Active Directory Certificate Services did not start: Could not load or verify the current CA certificate. %1 %2.
Ereignistext (deutsch):Die Active Directory-Zertifikatdienste wurden nicht gestartet: Das aktuelle Zertifizierungsstellenzertifikat konnte nicht geladen bzw. verifiziert werden. %1 %2.

Parameter

Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:

  • %1: CACommonName (win:UnicodeString)
  • %2: ErrorCode (win:UnicodeString)

Beispiel-Ereignisse

Active Directory Certificate Services did not start: Could not load or verify the current CA certificate. ADCS Labor Issuing CA 2 Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND). 
Active Directory Certificate Services did not start: Could not load or verify the current CA certificate. ADCS Labor Issuing CA 3 A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING). 
Active Directory Certificate Services did not start: Could not load or verify the current CA certificate. ADCS Labor Issuing CA 3 The certificate is revoked. 0x80092010 (-2146885616 CRYPT_E_REVOKED). 
Active Directory Certificate Services did not start: Could not load or verify the current CA certificate.  ADCS Labor Issuing CA 3 The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE). 
Active Directory Certificate Services did not start: Could not load or verify the current CA certificate. ADCS Labor Issuing CA 3 A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT). 
Active Directory Certificate Services did not start: Could not load or verify the current CA certificate. ADCS Labor Issuing CA 2 The device that is required by this cryptographic provider is not ready for use. 0x80090030 (-2146893776 NTE_DEVICE_NOT_READY).
Active Directory Certificate Services did not start: Could not load or verify the current CA certificate. ADCS Labor Issuing CA 2 An internal consistency check failed. 0x8009002d (-2146893779 NTE_INTERNAL_ERROR).
Active Directory Certificate Services did not start: Could not load or verify the current CA certificate. ADCS Labor Issuing CA 3 The data is invalid. 0x8007000d (WIN32: 13 ERROR_INVALID_DATA).
Active Directory Certificate Services did not start: Could not load or verify the current CA certificate.  ADCS Labor Root CA The system cannot find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND).
Active Directory Certificate Services did not start: Could not load or verify the current CA certificate. FabrikamRootCA The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER).
Active Directory Certificate Services did not start: Could not load or verify the current CA certificate. ADCS Labor Issuing CA 2 Provider DLL failed to initialize correctly. 0x8009001d (-2146893795 NTE_PROVIDER_DLL_FAIL).
Active Directory Certificate Services did not start: Could not load or verify the current CA certificate.  ADCS Labor Issuing CA 2 An internal error occurred. 0x80090020 (-2146893792).

Beschreibung

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Dieses Ereignis tritt auf, wenn der Zertifizierungsstellen-Dienst nicht starten kann, weil etwas mit den Zertifizierungsstellen-Zertifikat nicht stimmt. Dies kann unterschiedliche Ursachen haben:

Fehlercode NTE_INTERNAL_ERROR

Tritt unter Anderem auf, wenn es ein Problem beim Zugriff auf einen privaten Schlüssel der Zertifizierungsstelle gibt (z.B. bei Problemen mit einem Hardware Security Modul, (insbesondere wenn der Cavium Key Storage Provider des AWS CloudHSM eingesetzt wird).

Siehe hierzu auch Ereignisse 53 und 130.

Fehlercode NTE_NOT_FOUND

Siehe Artikel "Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)"".

Fehlercode CERT_E_UNTRUSTEDROOT

Siehe Artikel "Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT)"".

Fehlercode CERT_E_REVOKED

Siehe Artikel "Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The certificate is revoked. 0x80092010 (-2146885616 CRYPT_E_REVOKED)"".

Fehlercode CERT_E_CHAINING

Siehe Artikel "Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING)"".

Fehlercode CERT_E_REVOCATION_OFFLINE

Siehe Artikel "Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)"".

Fehlercode NTE_DEVICE_NOT_READY

Siehe Artikel "Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The device that is required by this cryptographic provider is not ready for use. 0x80090030 (-2146893776 NTE_DEVICE_NOT_READY)"".

Fehlercode ERROR_INVALID_PARAMETER

Siehe Artikel "Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)"".

Fehlercode ERROR_INVALID_DATA

Siehe Artikel "Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The data is invalid. 0x8007000d (WIN32: 13 ERROR_INVALID_DATA)."".

Fehlercode ERROR_FILE_NOT_FOUND

Siehe Artikel "Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The system cannot find the file specified. 0x2 (WIN32: 2 ERROR_FILE_NOT_FOUND)"".

Fehlercode NTE_PROVIDER_DLL_FAIL

Siehe Artikel "Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "Provider DLL failed to initialize correctly. 0x8009001d (-2146893795 NTE_PROVIDER_DLL_FAIL).""

Sicherheitsbewertung

Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).

Aus betrieblicher Sicht ist dieses Ereignis als kritisch zu betrachten, da die Verfügbarkeit des Dienstes nicht mehr gewährleistet ist. Benutzer können keine Zertifikate beantragen.

Langfristig werden die Sperrlisten der Zertifizierungsstelle ablaufen, was zum Ausfall der von der Zertifizierungsstelle abhängigen IT-Dienste führen kann.

Es sollte umgehend eine Notfallsignierung der Sperrlisten durchgeführt werden (siehe Artikel "Durchführen der Notfallsignierung von Zertifikatsperrlisten"). Sofern noch Zugang zum privaten Schlüssel des Zertifizierungsstellen-Zertifikats besteht (falls das zugrundeliegende Problem also nicht auf ein eventuell vorhandenes Hardware Security Modul zurückzuführen ist) kann eine Notfall-Signierung der Sperrliste weiterhin erfolgen.

Bewertung durch Microsoft

Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Niedrig".

Weiterführende Links:

Externe Quellen

16 Gedanken zu „Details zum Ereignis mit ID 100 der Quelle Microsoft-Windows-CertificationAuthority“

Kommentare sind geschlossen.

de_DEDeutsch