Назад | Перейти на главную страницу

ADCS - как я могу определить точную причину, по которой запрос сертификата был отклонен модулем политики?

Мне нужно разработать рабочие процедуры для аудита и понимания того, почему конкретный запрос был отклонен модулем политики служб сертификации Active Directory (ADCS).

Я попытался включить все журналы (флажки) в графическом интерфейсе и проверил журнал событий. Я вижу только одну запись в журнале событий для каждого неудавшегося запроса, однако у меня нет четкого способа определить, что вызвало его сбой. Ниже приведен пример сбоя:

Службы сертификации Active Directory отклонили запрос 4, так как сертификат центра сертификации содержит недопустимые данные. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE). Запрос был для CN = Issue01a, CN = Bits.com, OU = Для защиты электронной почты, O = Bits LLC, C = US. Дополнительная информация: отклонено модулем политики

Вышеупомянутый пример - это вспомогательный центр сертификации, у которого намеренно установлен срок действия, превышающий срок действия родительского центра сертификации.

Я надеюсь выяснить эту причину из приведенного выше кода ошибки или из другого места.

Что я наделал: Поиск ошибки "2146877435" в Google приводит к тому, что выскакивает именно этот пост. Ни один из результатов на первых нескольких страницах не является списком кодов ошибок и причин.

Эта ссылка описывает, как извлечь дополнительные журналы из службы сертификатов. Может потребоваться перезагрузка.

Чтобы включить ведение журнала отладки для собственного клиента Windows CertEnroll, выполните следующую команду:

Certutil –setreg enroll \ debug 0xffffffe3 Файл журнала находится в следующем месте:% windir% \ CertEnroll.log

certutil –setreg ca \ debug 0xffffffe3 Файл журнала находится в следующем месте:% windir% \ certsrv.log