Active Directory Certificate Services + Event ID 7024 + Event ID 100

Олег

  • 10 октября 2023
Windows Server

Active Directory Certificate Services не запускается. В логах ошибки.

Event ID 100
Active Directory Certificate Services did not start: Could not load or verify the current CA certificate. OST-CA Access denied. 0x80090010 (-2146893808 NTE_PERM).

win

И ещё:

Event ID 7024
The Active Directory Certificate Services service terminated with the following service-specific error:
Access denied.

Ошибка оказалась связана с КриптоПРО.

В "КриптоПро CSP 4.0" реализован контроль сроков действия долговременных ключей. Возможность использования ключа, срок действия которого истёк, для различных операций зависит от параметров настройки провайдера. При создании ключа срок действия определяется равным 3 годам для неэкспортируемых ключей, хранящихся на функциональных ключевых носителях (ФКН) или в КриптоПро HSM. Сроки действия всех остальных ключей составляют 15 месяцев. Срок окончания действия ключа записывается в расширение контейнера. Для всех импортированных долговременных ключей срок действия определяется как 15 месяцев с момента импорта.

Параметром, определяющим разрешенные операции для ключа, срок действия которого истёк, является параметр ControlKeyTimeValidity. Данный параметр может принимать значения 0, 1 и 2.

  • 0 — Все операции разрешены.
  • 1 — Запрещено формирование ЭП и зашифрование.
    Разрешено расшифрование ранее зашифрованных сообщений.
    Это значение установлено по умолчанию.
  • 2 — Все операции запрещены.

Для начала можно просто системную дату отмотать назад и проверить, что служба запустится. Далее есть несколько вариантов как поступить, все перечислены по ссылкам ниже.

Указанный параметр может быть изменён путём редактирования ключей реестра Windows. Для 64-битных операционных систем:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters\ControlKeyTimeValidity ()

Для 32-битных операционных систем:

HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Cryptography\CurrentVersion\Parameters\ControlKeyTimeValidity

Либо путём вызова утилиты cpconfig (для *nix-подобных ОС):

./cpconfig -ini '\config\parameters' -add long ControlKeyTimeValidity <значение>

Нолик нам поможет.

win

И контрольная перезагрузка.

Необходимо отметить, что при включённом режиме усиленного контроля использования ключей значение ControlKeyTimeValidity полагается равным 2 вне зависимости от указанного.

Ссылки

https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=18498

https://cpdn.cryptopro.ru/content/csp40/html/timevalidity.html

Теги

💰 Поддержать проект

 

Похожие материалы

Own Your Space : Keep Yourself and Your Stuff Safe Online

Олег

Linda McCarthy, Denise Weldon-Siviy
Бесплатная версию книги «Владей своим пространством — держи себя и свои вещи в безопасности в Интернете» от Microsoft в соавторстве с экспертом по безопасности Линдой Маккарти.

Теги

Windows Sandbox — песочница Windows

Олег

Windows
Компания Microsoft года разработала механизм на основе технологии контейнеризации под названием Песочница, или Windows Sandbox. Данный механизм позволяет запустить в изолированной среде легковесную виртуальную машину. Легковесность обеспечивается тем, что виртуальная машина создастся на лету из файлов вашей текущей ОС Windows.

Теги

Relaying Potatoes — уязвимость повышения привилегий в Windows RCE

Олег

Information Seciurity
Новая неожиданная уязвимость повышения привилегий в протоколе Windows RPC. Любой пользователь системы может повысить свои права до уровня доменного администратора. Бдыщь.

Теги

Почитать