Details zum Ereignis mit ID 22 der Quelle Microsoft-Windows-CertificationAuthority

Ereignisquelle:	Microsoft-Windows-CertificationAuthority
Ereignis-ID:	22 (0x16)
Ereignisprotokoll:	Application
Ereignistyp:	Fehler
Symbolischer Name:	MSG_E_PROCESS_REQUEST_FAILED_WITH_INFO
Ereignistext (englisch):	Active Directory Certificate Services could not process request %1 due to an error: %2. The request was for %3. Additional information: %4
Ereignistext (deutsch):	Die Anforderung %1 konnte aufgrund eines Fehlers nicht ausgeführt werden: %2. Die Anforderung bezog sich auf %3. Weitere Informationen: %4

Parameter

Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:

%1: RequestId (win:UnicodeString)
%2: ErrorCode (win:UnicodeString)
%3: SubjectName (win:UnicodeString)
%4: AdditionalInformation (win:UnicodeString)

Beispiel-Ereignisse

Active Directory Certificate Services could not process request 16701 due to an error: The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT).  The request was for C=CLIENT2, C=DE, OU=ADCS Labor, OU=IT, S=Bavaria.  Additional information: Error Parsing Request

Active Directory Certificate Services could not process request 10 due to an error: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER). The request was for INTRA\CLIENT2$. Additional information: Error Cannot Process TPM Attestation

Active Directory Certificate Services could not process request 20 due to an error: Cannot archive private key. The certification authority could not verify one or more key recovery certificates. 0x8009400b (-2146877429 CERTSRV_E_NO_VALID_KRA). The request was for INTRA\rudi. Additional information: Error Archiving Private Key

Active Directory Certificate Services could not process request 77 due to an error: The system cannot find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND). The request was for CN=WEB01.intra.adcslabor.de. Additional information: Error Parsing Request

Active Directory Certificate Services could not process request 193 due to an error: The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE). The request was for CN=SCEP Test. Additional information: Error Verifying Request Signature or Signing Certificate

Active Directory Certificate Services could not process request 767 due to an error: A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA).  The request was for INTRA\Administrator.  Additional information: Error Verifying Request Signature or Signing Certificate

Active Directory Certificate Services could not process request 12345 due to an error: A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file. 0x800b0101 (-2146762495 CERT_E_EXPIRED). The request was for CN=Rudi Ratlos. Additional information: Error Verifying Request Signature or Signing Certificate

Active Directory Certificate Services could not process request 14 due to an error: A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file. 0x800b0101 (-2146762495 CERT_E_EXPIRED). The request was for CN=www.bla.de. Additional information: Error Parsing Request

Active Directory Certificate Services could not process request 110868 due to an error: ASN1 bad tag value met. 0x8009310b (ASN: 267 CRYPT_E_ASN1_BADTAG).  The request was for INTRA\rudi.  Additional information: Error Parsing Request

Active Directory Certificate Services could not process request 5 due to an error: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED). The request was for CN=Rudi Ratlos. Additional information: Error verifying access

Active Directory Certificate Services could not process request 12345 due to an error: A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING). The request was for CN=Rudi Ratlos. Additional information: Error Verifying Request Signature or Signing Certificate

Active Directory Certificate Services could not process request 12345 due to an error: A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT). The request was for CN=Rudi Ratlos. Additional information: Error Verifying Request Signature or Signing Certificate

Active Directory Certificate Services could not process request 12345 due to an error: The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK). The request was for CN=Rudi Ratlos. Additional information: Error Verifying Request Signature or Signing Certificate

Active Directory Certificate Services could not process request 111022 due to an error: ASN1 unexpected end of data. 0x80093102 (ASN: 258 CRYPT_E_ASN1_EOD).  The request was for INTRA\rudi.  Additional information: Error Parsing Request

Beschreibung

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Bei diesem Ereignis sollte besonderes Augenmerk auf den im Ereignistext eingetragenen Fehlercode (Parameter %2, ErrorCode) gelegt werden:

Fehlercode CERTSRV_E_BAD_REQUESTSTATUS

Dieser Fehler tritt auf, wenn eine Zertifikatanforderung Key based Renewal versucht wird, aber das Flag EDITF_ENABLERENEWONBEHALFOF auf der Zertifizierungsstelle nicht gesetzt ist.

Fehlercode CERTSRV_E_BAD_REQUESTSUBJECT

Dieser Fehler tritt auf, wenn die Zertifizierungsstelle den Subject-Teil einer eingehenden Zertifikatanforderung nicht verifizieren kann. Siehe auch Artikel "Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)"".

Wie im Beispiel-Ereignis zu sehen ist, wurde versehentlich die identität des Antragstellers nicht in das Common Name (CN) RDN eingetragen, sondern in Country (C). Das Country-Feld erlaubt jedoch nur zwei Ziffern (optimalerweise die nach ISO 3166 definierten Ländercodes), sodass der Zertifikatantrag durch die Zertifizierungsstelle nicht verarbeitet werden konnte und daher abgelehnt wurde.
Es wurde ein unerlaubter Relative Distinguisghed Name (RDN) in das Subject der Zertifikatanforderung eingetragen.
Das Feld Antragsteller (Subject) in der Zertifikatanforderung ist identisch mit dem der Zertifizierungsstelle.
Ein im Feld Antragsteller (Subject) beantragte RDN (z.B. Common Name) ist länger als erlaubt. Siehe hierzu auch Artikel Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)".

Fehlercode ERROR_INVALID_PARAMETER

Dieser Fehler kann auftreten, wenn ein Windows 10 Client ein Zertifikat mit Trusted Platform Module (TPM) Key Attestation von einer Windows Server 2012 R2 Zertifizierungsstelle beziehen möchte. Der Fehler wurde mit dem KB3154769 behoben, welcher im Juni 2016 update Rollup für Windows RT 8.1, Windows 8.1 und Windows Server 2012 R2 beinhaltet ist.

Fehlercode CRYPT_E_NO_REVOCATION_CHECK

Tritt auf, wenn der Sperrstatus des Zertifizierungsstellen-Zertifikats nicht geprüft werden kann, z.B. weil die Sperrliste nicht verfügbar oder abgelaufen ist.

Tritt auf, wenn die Autoenrollment-Berechtigung auf einer Zertifikatvorlage für die OCSP-Antwortsignatur gesetzt ist und somit Zertifikatanforderungen mit einem OCSP-Antwortsignaturzertifikat signiert werden. Die Sperrstatusprüfung ist dann nicht möglich, da diese Zertifikate keine Sperrstatusinformationen beinhalten. Siehe Artikel "Zertifikatanforderungen für den Onlineresponder (OCSP) schlagen sporadisch fehl mit Fehlermeldung "The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)"".

Fehlercode CRYPT_E_ASN1_BADTAG

Tritt auf, wenn die eingereichte Zertifikatanforderung nicht verarbeitet werden konnte, also höchstwahrscheinlich ungültige Daten anstelle einer Zertifikatanforderung an die Zertifizierungsstelle gesendet wurden.

Fehlercode CRYPT_E_ASN1_EOD

Siehe Fehlercode CRYPT_E_ASN1_BADTAG.

Fehlercode ERROR_ACCESS_DENIED

Tritt beispielsweise auf, wenn ein Zertifikat abgerufen werden soll, das nicht durch das anfragende Konto beantragt wurde. Dies kann auf einen Angriffsversuch hinweisen und sollte, wenn es häufiger auftritt, unter Umständen alarmiert werden.

Sicherheitsbewertung

Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).

Hierzu wurde noch keine Beschreibung verfasst.

Bewertung durch Microsoft

Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Niedrig".

Weiterführende Links:

Externe Quellen

Event ID 22 – AD CS Certificate Request (Enrollment) Processing (Microsoft)
Securing Public Key Infrastructure (PKI) (Microsoft)
ISO-3166-1-Kodierliste (Wikipedia)