Ошибка 0x8009400b при запросе сертификата

09.04.2019 Active directory, GPO, CA No comments

Обновлено 09.04.2019

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов рунета Pyatilistnik.org. В прошлый раз мы с вами разобрали ошибку, которая не давала продлить сертификат через веб форму Центра сертификации Windows. В сегодняшней заметке мы разберем. так же проблему, когда у вас не получается выпустить или продлить новый сертификат на вашем CA, вы получаете ошибку 0x8009400b. Я с ней столкнулся впервые, поэтому решил себе записать алгоритм действий по ее устранению.

Описание ошибки 0x8009400

При попытке в оснастке certmgr.msc запросить новый сертификат, например из шаблона пользователя (Users) у меня выскочила ошибка:

Не удается заархивировать закрытый ключ. Центру сертификации не удалось проверить один или несколько сертификатов восстановления ключа.

Error Archiving Private Key Cannot archive private key. The certification autority could not verify one or more key recovery certificate. 0x8009400b (-2146877429 CERT_E_NO_VALID_KRA).

Как видно из ошибки 0x8009400b, что есть проблема с невалидностью сертификата с ключом восстановления. В логах на центре сертификации вы можете увидеть вот такие события:

ID 84: Active Directory Certificate Services will not use key recovery certificate 0 because it could not be verified for use as a Key Recovery Agent. CN=Pyatilistnik Recovery Agent, OU=Admins, OU=Special, DC=Pyatilistnik, DC=org A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file. 0x800b0101 (-2146762495 CERT_E_EXPIRED)

ID 22: Active Directory Certificate Services could not process request 2037433 due to an error: Cannot archive private key. The certification authority could not verify one or more key recovery certificates. 0x8009400b (-2146877429 CERTSRV_E_NO_VALID_KRA). The request was for user. Additional information: Error Archiving Private Key

Что мы делаем. Идем с вами на сервер с установленным центром сертификации. Переходим в свойства сервера, где находим вкладку "Агенты восстановления (Recovery Agents)" и видим ваши архивные ключи (Archive the key). Как видим у меня у данного ключа стоит статус "Просрочен (Expared)" и дата 7 апреля 2019, а на дворе, то уже 8 апреля. Если посмотреть путь сертификации, то видно, что срок действия этого сертификата истек. Нужно его перевыпускать, у данного типа нет авто выпуска, это обусловлено его шаблонов по которому он запрашивался.

Сказано, сделано, у меня есть учетная запись у которой есть на это права, мы ее уже использовали при выгрузке сертификата пользователя из Active Directory. Запускаем mmc или через окно "Выполнить", где пишем certmgr.msc. У вас откроется окно с сертификатами вашего пользователя. Переходим в раздел "Личное" и делаем "Запросить новый сертификат"

Выбираем нужный шаблон, у меня он называется "Key Recovery Agent" и делаем запрос.

После чего ваш запрос будет висеть в ожидающих одобрения, откройте оснастку управления центром сертификации и перейдите в раздел "Запросы в ожидании ()"