Eu preciso desenvolver procedimentos operacionais para auditar e entender por que uma solicitação específica foi rejeitada por um Módulo de Política do Active Directory Certificate Services (ADCS).
Eu tentei ligar todos os registros (caixas de seleção) na GUI e verifiquei o log de eventos. Eu vejo apenas uma entrada de log de eventos por solicitação com falha, no entanto, não tenho uma maneira clara de determinar o que causou a falha. Um exemplo de falha está abaixo:
Active Directory Certificate Services denied request 4 because The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE). The request was for CN=Issue01a, CN=Bits.com, OU=For email security, O=Bits LLC, C=US. Additional information: Denied by Policy Module
O exemplo acima é um sub-ca que intencionalmente teve um período de validade que se estenderia além da validade da CA pai.
Espero obter esse motivo do código de erro acima ou de outro local.
O que eu fiz: Buscando o erro "2146877435" no google, resulta em este post muito sendo puxado para cima. Nenhum dos resultados nas primeiras páginas é uma lista de códigos de erro e motivos.
Este link descreve como extrair mais log do serviço de certificado. Uma reinicialização pode ser necessária.
Para habilitar o log de depuração para o cliente nativo CertEnroll do Windows, execute o seguinte comando:
Certutil –setreg enroll\debug 0xffffffe3 The log file is in the following location: %windir%\CertEnroll.log
certutil –setreg ca\debug 0xffffffe3 The log file is in the following location: %windir%\certsrv.log