Перейти к основному содержанию

Active Directory Certificate Services + Event ID 7024 + Event ID 100

Windows Server

Active Directory Certificate Services не запускается. В логах ошибки.

Event ID 100
Active Directory Certificate Services did not start: Could not load or verify the current CA certificate. OST-CA Access denied. 0x80090010 (-2146893808 NTE_PERM).

win

И ещё:

Event ID 7024
The Active Directory Certificate Services service terminated with the following service-specific error:
Access denied.

Ошибка оказалась связана с КриптоПРО.

В "КриптоПро CSP 4.0" реализован контроль сроков действия долговременных ключей. Возможность использования ключа, срок действия которого истёк, для различных операций зависит от параметров настройки провайдера. При создании ключа срок действия определяется равным 3 годам для неэкспортируемых ключей, хранящихся на функциональных ключевых носителях (ФКН) или в КриптоПро HSM. Сроки действия всех остальных ключей составляют 15 месяцев. Срок окончания действия ключа записывается в расширение контейнера. Для всех импортированных долговременных ключей срок действия определяется как 15 месяцев с момента импорта.

Параметром, определяющим разрешенные операции для ключа, срок действия которого истёк, является параметр ControlKeyTimeValidity. Данный параметр может принимать значения 0, 1 и 2.

  • 0 — Все операции разрешены.
  • 1 — Запрещено формирование ЭП и зашифрование.
    Разрешено расшифрование ранее зашифрованных сообщений.
    Это значение установлено по умолчанию.
  • 2 — Все операции запрещены.

Для начала можно просто системную дату отмотать назад и проверить, что служба запустится. Далее есть несколько вариантов как поступить, все перечислены по ссылкам ниже.

Указанный параметр может быть изменён путём редактирования ключей реестра Windows. Для 64-битных операционных систем:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters\ControlKeyTimeValidity ()

Для 32-битных операционных систем:

HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Cryptography\CurrentVersion\Parameters\ControlKeyTimeValidity

Либо путём вызова утилиты cpconfig (для *nix-подобных ОС):
./cpconfig -ini '\config\parameters' -add long ControlKeyTimeValidity <значение>

Нолик нам поможет.

win

И контрольная перезагрузка.

Необходимо отметить, что при включённом режиме усиленного контроля использования ключей значение ControlKeyTimeValidity полагается равным 2 вне зависимости от указанного.

Ссылки

https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=18498

https://cpdn.cryptopro.ru/content/csp40/html/timevalidity.html

Теги

 

Похожие материалы

Удаление трояна Bitcoin Miner — nano.exe

Словил дома трояна, который устанавливает другие трояны. Через некоторое время комп залился кучей троянов, рекламных программ и левого софта. Помимо прочего мусора у меня поселился троян Bitcoin Miner. Заметить это чудо можно также по тому, что комп тормозит.

Relaying Potatoes — уязвимость повышения привилегий в Windows RCE

Новая неожиданная уязвимость повышения привилегий в протоколе Windows RPC. Любой пользователь системы может повысить свои права до уровня доменного администратора. Бдыщь.

Теги