Ошибка 0x8009400b при запросе сертификата

Обновлено 08.04.2019

certificate services logo

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов рунета Pyatilistnik.org. В прошлый раз мы с вами разобрали ошибку, которая не давала продлить сертификат через веб форму Центра сертификации Windows. В сегодняшней заметке мы разберем. так же проблему, когда у вас не получается выпустить или продлить новый сертификат на вашем CA, вы получаете ошибку 0x8009400b. Я с ней столкнулся впервые, поэтому решил себе записать алгоритм действий по ее устранению.

Описание ошибки 0x8009400

При попытке в оснастке certmgr.msc запросить новый сертификат, например из шаблона пользователя (Users) у меня выскочила ошибка:

Не удается заархивировать закрытый ключ. Центру сертификации не удалось проверить один или несколько сертификатов восстановления ключа.

Error Archiving Private Key Cannot archive private key. The certification autority could not verify one or more key recovery certificate. 0x8009400b (-2146877429 CERT_E_NO_VALID_KRA).

Ошибка 0x8009400b-01

Как видно из ошибки 0x8009400b, что есть проблема с невалидностью сертификата с ключом восстановления. Что мы делаем. Идем с вами на сервер с установленным центром сертификации. Переходим в свойства сервера, где находим вкладку "Агенты восстановления (Recovery Agents)" и видим ваши архивные ключи (Archive the key). Как видим у меня у данного ключа стоит статус "Просрочен (Expared)" и дата 7 апреля 2019, а на дворе, то уже 8 апреля. Если посмотреть путь сертификации, то видно, что срок действия этого сертификата истек. Нужно его перевыпускать, у данного типа нет авто выпуска, это обусловлено его шаблонов по которому он запрашивался.

Ошибка 0x8009400b-03

Сказано, сделано, у меня есть учетная запись у которой есть на это права, мы ее уже использовали при выгрузке сертификата пользователя из Active Directory. Запускаем mmc или через окно "Выполнить", где пишем certmgr.msc. У вас откроется окно с сертификатами вашего пользователя. Переходим в раздел "Личное" и делаем "Запросить новый сертификат"

Не удается заархивировать закрытый ключ

Выбираем нужный шаблон, у меня он называется "Key Recovery Agent" и делаем запрос.

выпуск key recovery agent

После чего ваш запрос будет висеть в ожидающих одобрения, откройте оснастку управления центром сертификации и перейдите в раздел "Запросы в ожидании ()"

Выпуска ключа архивирования

На вкладке "Агенты восстановления (Recovery Agents)" добавляем наш сертификат и выбираем его из списка.

Добавление сертификата recovery key

В момент добавления вас попросят перезапустить службу, ели вы это не сделаете, то у вашего ключа архивации будет статус не загружен (Not Loaded)

Добавление сертификата recovery key-2

В итоге мы получили действительный архивный ключ агента восстановления.

Валидный ключ архивации CA

На этом у меня все. С вами был Иван Семин ,автор и создатель IT портала Pyatilistnik.org.

Автор - Сёмин Иван

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *