Details zum Ereignis mit ID 97 der Quelle Microsoft-Windows-CertificationAuthority

Ereignisquelle:	Microsoft-Windows-CertificationAuthority
Ereignis-ID:	97 (0x61)
Ereignisprotokoll:	Application
Ereignistyp:	Warnung
Symbolischer Name:	MSG_CLAMPED_BY_CA_CERT
Ereignistext (englisch):	Active Directory Certificate Services %1 will reduce the maximum lifetime of the issued certificate for request %2 because the CA certificate lifetime is shorter than the registry validity period. Consider renewing the CA certificate or reducing the registry validity period.
Ereignistext (deutsch):	Von Active Directory-Zertifikatdienste %1 wird die maximale Gültigkeitsdauer des ausgestellten Zertifikats für die Anforderung %2 reduziert, da die Gültigkeitsdauer des Zertifizierungsstellenzertifikats kürzer als die Registrierungsgültigkeitsdauer ist. Sie sollten das Zertifizierungsstellenzertifikat erneuern oder die Registrierungsgültigkeitsdauer verkürzen.

Parameter

Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:

%1: CACommonName (win:UnicodeString)
%2: RequestId (win:UnicodeString)

Beispiel-Ereignisse

Active Directory Certificate Services Fabrikam Issuing CA 1 will reduce the maximum lifetime of the issued certificate for request 12345 because the CA certificate lifetime is shorter than the registry validity period. Consider renewing the CA certificate or reducing the registry validity period.

Beschreibung

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Dieses Ereignis tritt dann auf, wenn ein ausgestelltes Zertifikat nicht mehr die volle konfigurierte Gültigkeitsdauer erreichen kann, da es durch das Ablaufdatum des Zertifizierungsstellen-Zertifikats begrenzt wird.

Microsoft Active Directory Certificate Services ist nach dem Schalenmodell implementiert, d.h. kein ausgestelltes Zertifikat kann länger gültig sein als das übergeordnete Zertifizierungsstellen-Zertifikat.

Dieses Ereignis kann somit ein Indiz dafür sein, dass das Zertifizierungsstellen-Zertifikat dringend erneuert werden muss, oder die vorhandenen Zertifikatvorlagen auf eine neue Zertifizierungsstelle mit längerer Gültigkeitsdauer migriert werden müssen.

Das Ereignis tritt unabhängig von der in der Zertifikatvorlage konfigurierten Zertifikatgültigkeit auf. Es wird ausgelöst, wenn der in der Registrierung der Zertifizierungsstelle konfigurierte Wert ("ValidityPeriod" und "ValidityPeriodUnits") den verbleibenden Gültigkeitszeitraum übersteigt. Somit tritt das Ergebnis auch dann auf, wenn für die konkrete Zertifikatvorlage noch kein Problem besteht.

Das Ereignis tritt nur auf, wenn die Protokollierungsebene für das Ereignisprotokoll der betreffenden Zertifizierungsstelle auf 4 (CERTLOG_VERBOSE) oder höher eingestellt wurde.

Das Ereignis wurde auch schon als Fehlalarm in Korrelation zu Ereignis mit ID 77 der Quelle Microsoft-Windows-CertificationAuthority gesichtet.

Sicherheitsbewertung

Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).

Langfristig droht, dass keine neuen Zertifikate mehr ausgestellt werden können. Die Verfügbarkeit ist daher bedroht.

Bewertung durch Microsoft

Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Niedrig".

Weiterführende Links:

Externe Quellen

Event ID 97 – AD CS Certificate Request (Enrollment) Processing (Microsoft)
Securing Public Key Infrastructure (PKI) (Microsoft)