Die Beantragung eines Trusted Platform Module (TPM) geschützten Zertifikats schägt fehl mit Fehlermeldung "The requested operation is not supported. 0x80090029 (-2146893783 NTE_NOT_SUPPORTED)"

Folgendes Szenario angenommen:

• Es ist eine Zertifikatvorlage für die Verwendung des Microsoft Platform Crypto Provider konfiguriert, sodass der bei der Beantragung des Zertifikats erzeugte private Schlüssel mit einem Trusted Platform Module (TPM) geschützt ist.
• Die Beantragung von Zertifikaten schlägt jedoch mit folgender Fehlermeldung fehl:

An error occurred while enrolling for a certificate.
A certificate request could not be created.
Url: CA02.intra.adcslabor.de\ADCS Labor Issuing CA 1
Error: The requested operation is not supported. 0x80090029 (-2146893783 NTE_NOT_SUPPORTED)

Ursache

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Die Fehlermeldung NTE_NOT_SUPPORTED tritt bei der Erzeugung des privaten Schlüssels auf. Wenn in der Zertifikatvorlage ein Export des privaten Schlüssels erlaubt ist, wird dies bei Verwendung des Microsoft Platform Crypto Provider fehlschlagen, da dieser logischerweise keinen Schlüsselexport unterstützt.

Eine Veränderung der Zertifikatvorlage mit der Zertifizierungsstellen-Verwaltungskonsole kann dazu führen, dass das pKIDefaultCSPs Attribut zurückgesetzt oder verändert wird und nicht mehr der Microsoft Platform Crypto Provider voreingestellt ist. Nach jeder Änderung der Zertifikatvorlage sollte daher kontrolliert werden, dass das Attribut wie gewünscht gesetzt ist (siehe Artikel "Konfigurieren einer Zertifikatvorlage für die Verwendung des Microsoft Platform Crypto Provider, um Schutz des privaten Schlüssels durch ein Trusted Platform Module (TPM) zu ermöglichen").

Weiterführende Links:

• Grundlagen: Cryptographic Service Provider (CSP) und Key Storage Provider (KSP)
• Beantragen eines durch ein Trusted Platform Modul (TPM) geschütztes Zertifikat – ohne ein TPM zu besitzen
• Konfigurieren der Trusted Platform Module (TPM) Key Attestation
• Konfigurieren einer Zertifikatvorlage für die Verwendung des Microsoft Platform Crypto Provider, um Schutz des privaten Schlüssels durch ein Trusted Platform Module (TPM) zu ermöglichen