Active Directory Certificate Services + Event ID 7024 + Event ID 100

Active Directory Certificate Services не запускается. В логах ошибки.

Event ID 100
Active Directory Certificate Services did not start: Could not load or verify the current CA certificate. OST-CA Access denied. 0x80090010 (-2146893808 NTE_PERM).

И ещё:

Event ID 7024
The Active Directory Certificate Services service terminated with the following service-specific error:
Access denied.

Ошибка оказалась связана с КриптоПРО.

В "КриптоПро CSP 4.0" реализован контроль сроков действия долговременных ключей. Возможность использования ключа, срок действия которого истёк, для различных операций зависит от параметров настройки провайдера. При создании ключа срок действия определяется равным 3 годам для неэкспортируемых ключей, хранящихся на функциональных ключевых носителях (ФКН) или в КриптоПро HSM. Сроки действия всех остальных ключей составляют 15 месяцев. Срок окончания действия ключа записывается в расширение контейнера. Для всех импортированных долговременных ключей срок действия определяется как 15 месяцев с момента импорта.

Параметром, определяющим разрешенные операции для ключа, срок действия которого истёк, является параметр ControlKeyTimeValidity. Данный параметр может принимать значения 0, 1 и 2.

• 0 — Все операции разрешены.
• 1 — Запрещено формирование ЭП и зашифрование.
  Разрешено расшифрование ранее зашифрованных сообщений.
  Это значение установлено по умолчанию.
• 2 — Все операции запрещены.

Для начала можно просто системную дату отмотать назад и проверить, что служба запустится. Далее есть несколько вариантов как поступить, все перечислены по ссылкам ниже.

Указанный параметр может быть изменён путём редактирования ключей реестра Windows. Для 64-битных операционных систем:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters\ControlKeyTimeValidity ()

Для 32-битных операционных систем:

HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Cryptography\CurrentVersion\Parameters\ControlKeyTimeValidity

Либо путём вызова утилиты cpconfig (для *nix-подобных ОС):

./cpconfig -ini '\config\parameters' -add long ControlKeyTimeValidity <значение>

Нолик нам поможет.

И контрольная перезагрузка.

Необходимо отметить, что при включённом режиме усиленного контроля использования ключей значение ControlKeyTimeValidity полагается равным 2 вне зависимости от указанного.

Ссылки

https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=18498

https://cpdn.cryptopro.ru/content/csp40/html/timevalidity.html