Folgendes Szenario angenommen:
- Es wird ein Zertifizierungsstellen-Zertifikat von einer Zertifizierungsstelle beantragt
- Die Zertifikatanforderung schlägt mit folgender Fehlermeldung fehl:
The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)
Denied by Policy Module
Darüber hinaus protokolliert die Zertifizierungsstelle entsprechend das Ereignis mit Nr. 53:
Active Directory Certificate Services denied request 57 because The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE). The request was for CN=Invalid Path Length CA. Additional information: Denied by Policy Module
Mögliche Ursachen
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Grundsätzlich tritt dieser Fehler auf, wenn das Zertifizierungsstellen-Zertfikat eine Zertifikatrichtlinie (Issuance Policy) oder Einschränkung (Application Policy) oder eine Einschränkung der Pfadlänge (Path Length Constraint) aufweist, welche mit dem beantragten Zertifikat in Konflikt steht. Beispiele hierfür können sein:
- Das Zertifizierungsstellen-Zertifikat verfügt über einen Path Length Constraint und es wird ein untergeordnetes Zertifizierungsstellen-Zertifikat beantragt
- Die Zertifikatrichtlinie (Issuance Policy) auf einer Stammzertifizierungsstelle wurde bei Erneuerung des Zertifizierungsstellen-Zertifikats geändert
Details: Das Zertifizierungsstellen-Zertifikat verfügt über einen Path Length Constraint und es wird ein untergeordnetes Zertifizierungsstellen-Zertifikat beantragt
Dieser Fehler tritt auf, wenn das Zertifizierungsstellen-Zertifikat über eine Einschränkung der Pfad Länge (Path Length) Constraint mit dem Wert "0" verfügt und es ihr somit nicht gestattet ist, Zertifizierungsstellen-Zertifikate auszustellen. Dieses Verhalten ist eine gewünschte Sicherheitsfunktion und kann darum nicht deaktiviert werden.
Siehe hierzu auch Artikel "Grundlagen: Einschränkung der Pfadlänge (Path Length Constraint)".
Details: Die Zertifikatrichtlinie (Issuance Policy) auf einer Stammzertifizierungsstelle wurde bei Erneuerung des Zertifizierungsstellen-Zertifikats geändert
Der Fehler kann bei einer Stammzertifizierungsstelle (engl. Root Certification Authority) auftreten, wenn deren Zertifizierungsstellen-Zertifikate erneuert wird, und dabei die Ausstellungsrichtlinie (Issuance Policy) über die capolicy.inf verändert wird.
Eine Stammzertifizierungsstelle wird bei Erneuerung des Zertifizierungsstellen-Zertifikats (wenn ein neues Schlüsselpaar generiert wurde) eine Kreuz-Signierung (Cross Certification) zwischen dem neuen und dem vorigen Zertifizierungsstellen-Zertifikat zu erstellen versuchen. Unterscheiden sich die Ausstellungs-Richtlinien der beiden Zertifikate, schlägt dies jedoch fehl.
Die Zertifizierungsstelle wird den Prozess bei jedem Dienststart erneut versuchen und scheitern, sodass immer wieder neue fehlgeschlagene Anforderungen generiert werden.
Ein interessantes Merkmal hierbei ist übrigens, dass die Zertifikatanforderung nicht eingesehen werden kann.
Dies wird auch in der Ereignisanzeige entsprechend mit dem Ereignis Nr. 102 abgebildet.
In diesem Fall bieten sich folgende Optionen zur Lösung an:
- Akzeptieren des Problems.
- Deaktivieren der Erzeugung der Kreuzzertifizierungsstellen-Zertifikate. Siehe hierzu Artikel "Deaktivieren der Erzeugung der Kreuzzertifizierungsstellen-Zertifikate".
- Beim Design einer Stammzertifizierungsstelle sollte überlegt werden, ob man überhaupt Ausstellungsrichtlinien in Stammzertifizierungsstellen-Zertifikate aufnehmen möchte.
5 Gedanken zu „Die Beantragung eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung "The certification authority’s certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)"“
Kommentare sind geschlossen.