| Ereignisquelle: | Microsoft-Windows-CertificationAuthority |
| Ereignis-ID: | 103 (0x67) |
| Ereignisprotokoll: | Application |
| Ereignistyp: | Warnung |
| Symbolischer Name: | MSG_E_MISSING_POLICY_ROOT |
| Ereignistext (englisch): | Active Directory Certificate Services added the root certificate of certificate chain %1 to the downloaded Trusted Root Certification Authorities Enterprise store on the CA computer. This store will be updated from the Certification Authorities container in Active Directory the next time Group Policy is applied. To verify that the CA certificate is published correctly in Active Directory, run the following command: certutil -viewstore "%2" (you must include the quotation marks when you run this command). If the root CA certificate is not present, use the Certificates console on the root CA computer to export the certificate to a file, and then run the following command to publish it to Active Directory: Certutil -dspublish %certificatefilename% Root. |
| Ereignistext (deutsch): | Das Stammzertifikat der Zertifikatkette %1 wurde in den Unternehmensspeicher der vertrauenswürdigen Stammzertifizierungsstellen auf den Zertifizierungsstellencomputer heruntergeladen. Dieser Speicher wird bei der nächsten Anwendung der Gruppenrichtlinie vom Zertifizierungsstellencontainer in Active Directory aktualisiert. Führen Sie folgenden Befehl aus, um sicherzustellen, dass das Stammzertifizierungsstellenzertifikat korrekt in Active Directory veröffentlicht wurde: certutil -viewstore "%2" (beim Ausführen des Befehls müssen Sie auch die Anführungszeichen eingeben). Wenn das Stammzertifizierungsstellenzertifikat nicht vorhanden ist, verwenden Sie die Zertifikatkonsole auf dem Zertifizierungsstammcomputer, um das Zertifikat in eine Datei zu exportieren. Führen Sie anschließend den folgenden Befehl aus, um das Zertifikat in Active Directory zu veröffentlichen: Certutil -dspublish %certificatefilename% Root. |
Parameter
Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:
- %1: CACertIdentifier (win:UnicodeString)
- %2: LDAPPath (win:UnicodeString)
Beispiel-Ereignisse
Active Directory Certificate Services added the root certificate of certificate chain 0 to the downloaded Trusted Root Certification Authorities Enterprise store on the CA computer. This store will be updated from the Certification Authorities container in Active Directory the next time Group Policy is applied. To verify that the CA certificate is published correctly in Active Directory, run the following command: certutil -viewstore "ldap:///CN=ADCS Labor Issuing CA 2,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de?cACertificate?base?objectClass=certificationAuthority" (you must include the quotation marks when you run this command). If the root CA certificate is not present, use the Certificates console on the root CA computer to export the certificate to a file, and then run the following command to publish it to Active Directory: Certutil -dspublish %certificatefilename% Root.
Beschreibung
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Dieses Ereignis tritt auf, wenn die Zertifizierungsstelle feststellt, dass die Zertifkatkette eines ihrer Zertifizierungsstellen-Zertifikate nicht mehr zu einer vertrauenswürdigen Stammzertifizierungsstelle verweist – der dazugehörigen Stammzertifizierungsstelle also offenbar der Vertrauensstatus entzogen wurde.
Wenn die LDAP AIA Pfade noch erreichbar sind, stellt die Zertifizierungsstelle selbst den Vertrauensstatus wieder her und protokolliert hierbei dieses Ereignis.
Sicherheitsbewertung
Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).
Da die Zertifizierungsstelle den Vertrauensstatus für sich selbst wieder herstellen konnte hat das Ereignis in der Regel keine Auswirkungen auf die Verfügbarkeit, da der Zertifizierungsstellen-Dienst wie gewohnt weiter arbeitet.
Siehe hierzu auch Artikel "Welchen Einfluss hat der Entzug des Vertrauensstatus eines Stammzertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle?".
Es sollte jedoch untersucht werden, ob der Entzug des Vertrauensstatus der Zertifizierungsstelle Auswirkungen auf die Teilnehmer der PKI hat, da diese höchstwahrscheinlich dem Zertifizierungsstellen-Zertifikat nicht mehr vertrauen werden.
Bewertung durch Microsoft
Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Niedrig".
Weiterführende Links:
- Übersicht über die von der Zertifizierungsstelle generierten Windows-Ereignisse
- Übersicht über die von der Zertifizierungsstelle generierten Audit-Ereignisse
Deutsch 
English
Ein Gedanke zu „Details zum Ereignis mit ID 103 der Quelle Microsoft-Windows-CertificationAuthority“
Kommentare sind geschlossen.