Active Directory Certificate Services + Event ID 7024 + Event ID 100

Олег

  • 10 октября 2023
Windows Server

Active Directory Certificate Services не запускается. В логах ошибки.

Event ID 100
Active Directory Certificate Services did not start: Could not load or verify the current CA certificate. OST-CA Access denied. 0x80090010 (-2146893808 NTE_PERM).

win

И ещё:

Event ID 7024
The Active Directory Certificate Services service terminated with the following service-specific error:
Access denied.

Ошибка оказалась связана с КриптоПРО.

В "КриптоПро CSP 4.0" реализован контроль сроков действия долговременных ключей. Возможность использования ключа, срок действия которого истёк, для различных операций зависит от параметров настройки провайдера. При создании ключа срок действия определяется равным 3 годам для неэкспортируемых ключей, хранящихся на функциональных ключевых носителях (ФКН) или в КриптоПро HSM. Сроки действия всех остальных ключей составляют 15 месяцев. Срок окончания действия ключа записывается в расширение контейнера. Для всех импортированных долговременных ключей срок действия определяется как 15 месяцев с момента импорта.

Параметром, определяющим разрешенные операции для ключа, срок действия которого истёк, является параметр ControlKeyTimeValidity. Данный параметр может принимать значения 0, 1 и 2.

  • 0 — Все операции разрешены.
  • 1 — Запрещено формирование ЭП и зашифрование.
    Разрешено расшифрование ранее зашифрованных сообщений.
    Это значение установлено по умолчанию.
  • 2 — Все операции запрещены.

Для начала можно просто системную дату отмотать назад и проверить, что служба запустится. Далее есть несколько вариантов как поступить, все перечислены по ссылкам ниже.

Указанный параметр может быть изменён путём редактирования ключей реестра Windows. Для 64-битных операционных систем:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters\ControlKeyTimeValidity ()

Для 32-битных операционных систем:

HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Cryptography\CurrentVersion\Parameters\ControlKeyTimeValidity

Либо путём вызова утилиты cpconfig (для *nix-подобных ОС):

./cpconfig -ini '\config\parameters' -add long ControlKeyTimeValidity <значение>

Нолик нам поможет.

win

И контрольная перезагрузка.

Необходимо отметить, что при включённом режиме усиленного контроля использования ключей значение ControlKeyTimeValidity полагается равным 2 вне зависимости от указанного.

Ссылки

https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=18498

https://cpdn.cryptopro.ru/content/csp40/html/timevalidity.html

Теги

💰 Поддержать проект

 

Похожие материалы

Ошибка при установке Secret Net 7 — не удаётся записать значение в раздел

Олег

Secret Net
При установке Secret Net 7 иногда может возникнуть ошибка вида "Не удаётся записать значение в раздел". Дальше идёт указание ветки реестра и значения, которое не удаётся записать. Ошибка наблюдалась на Windows 7 x64 (и x86), а также на Windows Server 2012 R2. Инсталлятор Secret Net 7 запускался от имени администратора. Изменение прав доступа к веткам реестра не помогло решению проблемы.

Теги

0-day уязвимость в Windows 10 — одна команда выводит из строя файловую систему NTFS

Олег

Information Seciurity
Опасный и легко эксплуатируемый баг присутствует в операционной системе Windows 10 начиная с версии 1803.

Теги

Почитать