我需要制定操作程序来审计和理解为什么特定请求被Active Directory证书服务(ADCS)策略模块拒绝。
我试图打开GUI中的所有日志logging(checkbox),并检查Eventlog。 我只看到一个事件日志条目每个失败的请求,但我没有一个明确的方式来确定是什么导致它失败。 下面是一个失败的例子:
Active Directory证书服务拒绝了请求4,因为证书颁发机构的证书包含无效数据。 0x80094005(-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)。 请求是CN = Issue01a,CN = Bits.com,OU =对于电子邮件安全,O = Bits LLC,C = US。 其他信息:政策模块拒绝
上面的例子是一个sub-ca,故意有一个有效期会超出父CA的有效期。
我希望从上面的错误代码或其他位置得出这个原因。
我所做的:在谷歌search错误“2146877435”,导致这个非常后期被拉起。 前几页没有任何结果是错误代码和原因的列表。
此链接描述如何从证书服务中提取更多日志logging。 可能需要重新启动。
要为本机Windows CertEnroll客户端启用debugging日志logging,请执行以下命令:
Certutil -setreg enroll \ debug 0xffffffe3日志文件位于以下位置:%windir%\ CertEnroll.log
certutil -setreg ca \ debug 0xffffffe3日志文件位于以下位置:%windir%\ certsrv.log