Bir süre önce kullanıcılarımızdan biri Subordinate CA sertifikası yenilerken şöyle bir sorun ile karşılaştı. (Örneklerde kendi test ortamımı kullanacağım.)

Root CA offline olduğu için Subordinate CA üzerinden bir istek dosyası oluşturdu (subCA.turkey.world.com_turkey-Sub-CA(1).req) ve bu dosya ile Root CA üzerinde sertifikayı oluşturdu. Bir sonraki adımda bu oluşturulan sertifikayı install etmek istediğinde.

 

Aşağıdaki hatayı aldığını söyledi, hata mesajı ilk etapda pek bir anlam ifade etmiyor, ancak göze çarpan ilk şey install etmek istenen sertifika ile “subCA.turkey.world.com_turkey-Sub-CA(2).req” ismindeki istek dosyasını karşılaştırmaya çalıştığı, halbuki sertifikayı yaratırken “subCA.turkey.world.com_turkey-Sub-CA(1).req” ismindeki istek dosyası kullanılmıştı.

image

Tüm bunlar bir anlam ifade etmediği için öncelikle sertifika yenileme adımlarını  birkez de beraber yapmaya karar verdik. “Install CA Certificate” kısmına kadar sorunsuz geldik, ancak sertifikanın kurulumu kısmında "Insufficient access rights" içeren bir hata mesajı ortaya çıktı, kullanıcı bu kısımdan bahsetmemişti, hata penceresini kapatıp sertifikayı tekrar kurmaya kalktığımızda yukarıda bahsettiğim ilk hata tekrar ortaya çıktı, ancak öncesinde "Insufficient access rights" hatasının geldiğini gördüğüm için bu hata artık o kadar anlamsız değildi.

Subordinate CA sunucusunun “Certification Authority” MMC sini açarak özelliklerine girdiğimde aslında aldığımız sertifikanın kurulmuş olduğunu gördüm, bu sebeple “Install CA Certificate” işlemini birkez daha yaptığımızda daha üst numarada olan istek dosyasını arıyordu. bu sorunun cevabını bulduktan sonra asıl soru "Insufficient access rights" hatasının ne için geldiği oldu.

Hata mesajının kendisi hiç detaylı değildi ancak CA nın kendine özgü bazı logları mevcut, MMC kullanarak yaptığınız tüm işlemler %systemroot%\certmmc.log içerisinde tutulur, bu log u açıp baktığımızda gelen hata mesajının sebebi ortaya çıktı.

 

202.3514.230: Save certificate and Keys
202.2340.247: Create DS enrollment services object: CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=world,DC=com
202.2344.248: Create DS Root Trust: CN=turkey-Sub-CA,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=world,DC=com
202.2196.246: Create DS CDP object: ldap: 0x32: 00000005: SecErr: DSID-03151E04, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
: Access is denied. 0x80070005 (WIN32: 5)
202.2808.249: Publish CA in DS: Access is denied. 0x80070005 (WIN32: 5)
201.365.232: Finish Supended Setup: Access is denied. 0x80070005 (WIN32: 5)
201.2763.241: Install CA Certificate: turkey-Sub-CA: C:\turkey-Sub-CA.p7b: Access is denied. 0x80070005 (WIN32: 5)
202.1867.244: Save Chain and Keys: turkey-Sub-CA
0.253.965: Message Box: Microsoft Certificate Services: An error was detected while configuring Certificate Services.
The Certificate Services Setup Wizard will need to be rerun to complete the configuration.
The new Certification Authority certificate cannot be installed because the CA Version extension is incorrect.  The most recently generated request file should be used to obtain the new certificate: C:\subCA.turkey.world.com_turkey-Sub-CA(2).req The data is invalid. 0x8007000d (WIN32: 13): The data is invalid. 0x8007000d (WIN32: 13)
0.253.965: Message Box: Microsoft Certificate Services: 1
201.365.232: Finish Supended Setup: The data is invalid. 0x8007000d (WIN32: 13)

 

Log dan anlaşılacağı üzere sertifikayı Active Directory ye publish etmek isterken “Access is denied” hatası alıyoruz, CA sertifikası forest wide publish edilir bu sebeple tüm bilgiler ,CN=Public Key Services,CN=Services,CN=Configuration,DC=world,DC=com NC sinde bulunur, burada modifikasyon yapabilmek için genellikle en az “Cert Publishers” gurubunun yetkilerine sahip olmak gerekiyor. kullanıcı gerekli yetkilere sahip bir kullanıcı hesabı ile işlemi yaptığıda sertifika sorunsuz şekilde kuruldu.

 

/Tuna