The new Certification Authority certificate cannot be installed because the CA Version extension is incorrect hatası

Bir süre önce kullanicilarimizdan biri Subordinate CA sertifikasi yenilerken söyle bir sorun ile karsilasti. (Örneklerde kendi test ortamimi kullanacagim.)

Root CA offline oldugu için Subordinate CA üzerinden bir istek dosyasi olusturdu (subCA.turkey.world.com_turkey-Sub-CA(1).req) ve bu dosya ile Root CA üzerinde sertifikayi olusturdu. Bir sonraki adimda bu olusturulan sertifikayi install etmek istediginde.

 

Asagidaki hatayi aldigini söyledi, hata mesaji ilk etapda pek bir anlam ifade etmiyor, ancak göze çarpan ilk sey install etmek istenen sertifika ile “subCA.turkey.world.com_turkey-Sub-CA(2).req” ismindeki istek dosyasini karsilastirmaya çalistigi, halbuki sertifikayi yaratirken “subCA.turkey.world.com_turkey-Sub-CA(1).req” ismindeki istek dosyasi kullanilmisti.

image

Tüm bunlar bir anlam ifade etmedigi için öncelikle sertifika yenileme adimlarini birkez de beraber yapmaya karar verdik. “Install CA Certificate” kismina kadar sorunsuz geldik, ancak sertifikanin kurulumu kisminda "Insufficient access rights" içeren bir hata mesaji ortaya çikti, kullanici bu kisimdan bahsetmemisti, hata penceresini kapatip sertifikayi tekrar kurmaya kalktigimizda yukarida bahsettigim ilk hata tekrar ortaya çikti, ancak öncesinde "Insufficient access rights" hatasinin geldigini gördügüm için bu hata artik o kadar anlamsiz degildi.

Subordinate CA sunucusunun “Certification Authority” MMC sini açarak özelliklerine girdigimde aslinda aldigimiz sertifikanin kurulmus oldugunu gördüm, bu sebeple “Install CA Certificate” islemini birkez daha yaptigimizda daha üst numarada olan istek dosyasini ariyordu. bu sorunun cevabini bulduktan sonra asil soru "Insufficient access rights" hatasinin ne için geldigi oldu.

Hata mesajinin kendisi hiç detayli degildi ancak CA nin kendine özgü bazi loglari mevcut, MMC kullanarak yaptiginiz tüm islemler %systemroot%\certmmc.log içerisinde tutulur, bu log u açip baktigimizda gelen hata mesajinin sebebi ortaya çikti.

 

202.3514.230: Save certificate and Keys
202.2340.247: Create DS enrollment services object: CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=world,DC=com
202.2344.248: Create DS Root Trust: CN=turkey-Sub-CA,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=world,DC=com
202.2196.246: Create DS CDP object: ldap: 0x32: 00000005: SecErr: DSID-03151E04, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
: Access is denied. 0x80070005 (WIN32: 5)
202.2808.249: Publish CA in DS: Access is denied. 0x80070005 (WIN32: 5)
201.365.232: Finish Supended Setup: Access is denied. 0x80070005 (WIN32: 5)
201.2763.241: Install CA Certificate: turkey-Sub-CA: C:\turkey-Sub-CA.p7b: Access is denied. 0x80070005 (WIN32: 5)
202.1867.244: Save Chain and Keys: turkey-Sub-CA
0.253.965: Message Box: Microsoft Certificate Services: An error was detected while configuring Certificate Services.
The Certificate Services Setup Wizard will need to be rerun to complete the configuration.
The new Certification Authority certificate cannot be installed because the CA Version extension is incorrect.  The most recently generated request file should be used to obtain the new certificate: C:\subCA.turkey.world.com_turkey-Sub-CA(2).req The data is invalid. 0x8007000d (WIN32: 13): The data is invalid. 0x8007000d (WIN32: 13)
0.253.965: Message Box: Microsoft Certificate Services: 1
201.365.232: Finish Supended Setup: The data is invalid. 0x8007000d (WIN32: 13)

 

Log dan anlasilacagi üzere sertifikayi Active Directory ye publish etmek isterken “Access is denied” hatasi aliyoruz, CA sertifikasi forest wide publish edilir bu sebeple tüm bilgiler ,CN=Public Key Services,CN=Services,CN=Configuration,DC=world,DC=com NC sinde bulunur, burada modifikasyon yapabilmek için genellikle en az “Cert Publishers” gurubunun yetkilerine sahip olmak gerekiyor. kullanici gerekli yetkilere sahip bir kullanici hesabi ile islemi yaptigida sertifika sorunsuz sekilde kuruldu.

 

/Tuna