certutil -dcinfo schlägt fehl mit Fehlermeldung "KDC certificates: Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)"

Folgendes Szenario angenommen:

  • Domänencontroller verfügen über Zertifikate für LDAP über SSL.
  • Die Zertifikate beinhalten weder das Extended Key Usage "Smart Card Logon" noch "Kerberos Authentication".
  • Führt man certutil -dcinfo aus, meldet der Befehl folgende Fehlermeldung:
0 KDC certificates for DC01
No KDC Certificate in MY store
KDC certificates: Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)

Ursache

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Dieser Fehler ist dadurch begründet, dass certutil -dcinfo nach Zertifikaten für Smartcard-Anmeldung sucht und keine findet.

Damit Smartcard-Anmeldung funktioniert, muss das Zertifikat des Domänencontrollers entweder das Extended Key Usage "Smart Card Logon" oder das Extended Key Usage "KDC Authentication" enthalten, oder das Zertifikat muss von der Zertifikatvorlage "Domain Controller" (nicht empfohlen, da noch aus Windows 2000 Zeiten) stammen.

Es kann aus Sicherheitsgründen durchaus angeraten sein, obige Extended Key Usages nicht in die Domänencontrollerzertifikate einzutragen. Wenn im Unternehmen keine Smartcard-Anmeldung verwendet wird, kann so verhindert werden, dass Domänencontroller entsprechende Anmeldungen – etwa im Falle einer Kompromittierten Zertifizierungsstelle – verarbeiten.

Das Problem ist rein kosmetischer Natur und hat keine Auswirkungen auf die verbleibenden Funktionen des Zertifikats (LDAP über SSL).

Zu beachten ist, dass der Fehler auch auftritt, wenn das Domänencontroller-Zertifikat wie empfohlen das "KDC Authentication" Extended Key Usage beinhaltet, jedoch nicht das "Smartcard Logon" Extended Key Usage.

Erfüllt das Zertifikat alle Anforderungen für Smartcard-Anmeldung sollte die Fehlermeldung nicht angezeigt werden.

Weiterführende Links:

Ein Gedanke zu „certutil -dcinfo schlägt fehl mit Fehlermeldung "KDC certificates: Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)"“

Kommentare sind geschlossen.

de_DEDeutsch