Active Directory Certificate Services + Event ID 7024 + Event ID 100

Олег

10 октября 2023

Active Directory Certificate Services не запускается. В логах ошибки.

Event ID 100
Active Directory Certificate Services did not start: Could not load or verify the current CA certificate. OST-CA Access denied. 0x80090010 (-2146893808 NTE_PERM).

И ещё:

Event ID 7024
The Active Directory Certificate Services service terminated with the following service-specific error:
Access denied.

Ошибка оказалась связана с КриптоПРО.

В "КриптоПро CSP 4.0" реализован контроль сроков действия долговременных ключей. Возможность использования ключа, срок действия которого истёк, для различных операций зависит от параметров настройки провайдера. При создании ключа срок действия определяется равным 3 годам для неэкспортируемых ключей, хранящихся на функциональных ключевых носителях (ФКН) или в КриптоПро HSM. Сроки действия всех остальных ключей составляют 15 месяцев. Срок окончания действия ключа записывается в расширение контейнера. Для всех импортированных долговременных ключей срок действия определяется как 15 месяцев с момента импорта.

Параметром, определяющим разрешенные операции для ключа, срок действия которого истёк, является параметр ControlKeyTimeValidity. Данный параметр может принимать значения 0, 1 и 2.

0 — Все операции разрешены.
1 — Запрещено формирование ЭП и зашифрование.
Разрешено расшифрование ранее зашифрованных сообщений.
Это значение установлено по умолчанию.
2 — Все операции запрещены.

Для начала можно просто системную дату отмотать назад и проверить, что служба запустится. Далее есть несколько вариантов как поступить, все перечислены по ссылкам ниже.

Указанный параметр может быть изменён путём редактирования ключей реестра Windows. Для 64-битных операционных систем:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters\ControlKeyTimeValidity ()

Для 32-битных операционных систем:

HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Cryptography\CurrentVersion\Parameters\ControlKeyTimeValidity

Либо путём вызова утилиты cpconfig (для *nix-подобных ОС):

./cpconfig -ini '\config\parameters' -add long ControlKeyTimeValidity <значение>

Нолик нам поможет.

И контрольная перезагрузка.

Необходимо отметить, что при включённом режиме усиленного контроля использования ключей значение ControlKeyTimeValidity полагается равным 2 вне зависимости от указанного.

Ссылки

https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=18498

https://cpdn.cryptopro.ru/content/csp40/html/timevalidity.html

PrintNightmare — ночной кошмар Print Spooler

Олег

30 июня 2021
Подробнее о PrintNightmare — ночной кошмар Print Spooler

Привет, соскучились по обновлению винды? Это хорошо, потому как появился эксплойт для новой уязвимости CVE-2021-1675. В Интернете говорят что патч был в июне, но два часа назад вышла статья на гитхабе, где уязвимость волшебным образом применяется на полностью пропатченном контроллере домена Windows Server 2019. Кому верить?

Event ID 2887 — LDAP signing

Олег

11 июня 2024
Подробнее о Event ID 2887 — LDAP signing

Можно значительно повысить безопасность AD, настроив на контроллерах доменов отклонение привязок LDAP уровня простой проверки подлинности и безопасности (SASL), которые не запрашивают подпись (проверка целостности), или отклонение простых привязок LDAP, выполняемых при соединении с незашифрованным текстом (без шифрования SSL/TLS). Привязки SASL могут включать такие протоколы, как Negotiate, Kerberos, NTLM и Digest.

Родительский контроль — выключаем компьютер на ночь

Олег

6 ноября 2020
Подробнее о Родительский контроль — выключаем компьютер на ночь

Дети засиживаются за компьютером? Потратим 5 минут и настроим так, чтобы компьютер автоматически выключался с 9:30 вечера до 6:30 утра. Нам ничего не понадобится кроме встроенного планировщика заданий Windows.