Der Registrierungsdienst für Netzwerkgeräte (NDES) protokolliert die Fehlermeldung "The Network Device Enrollment Service cannot retrieve one of its required certificates (0x80070057). The parameter is incorrect."

Folgendes Szenario angenommen:

• Ein NDES Server ist im Netzwerk konfiguriert.
• Bei Aufruf der NDES-Beantragungs-Webseite (mscep) und der NDES-Administrations-Webseite (certsrv/mscep_admin) wird der HTTP-Fehler 500 (Internal Server Error) gemeldet.
• Es werden die Ereignisse Nr. 2 und 10 im Anwendungs-Ereignisprotokoll hinterlegt:

The Network Device Enrollment Service cannot be started (0x80070057). The parameter is incorrect.

The Network Device Enrollment Service cannot retrieve one of its required certificates (0x80070057). The parameter is incorrect.

Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".

Mögliche Ursachen

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Dieser Fehler tritt auf, wenn der NDES-Dienst die benötigten Registration Authority Zertifikate nicht verwenden kann kann.

Mögliche Ursachen hierfür können sein:

• Es gibt überhaupt keine Registration Authority Zertifikate (z.B. wenn der Dienst manuell installiert wurde und diese noch nicht beantragt wurden).
• Die Registration Authority (RA) Zertifikate sind abgelaufen und müssen erneuert werden.
• Die Registration Authority (RA) Zertifikate verwenden einen Key Storage Provider (KSP) anstelle eines Cryptographic Service Provider (CSP) für die Speicherung der privaten Schlüssel. Die NDES RA-Zertifikate müssen zwingend einen CSP verwenden.
• Die Registration Authority Zertifikate sind von der falschen Zertifizierungsstelle ausgestellt worden. Sie müssen immer von derjenigen Zertifizierungsstelle kommen, auf welche der NDES-Server zur Beantragung der Geräte-Zertifikate konfiguriert ist. Bieten mehrere Zertifizierungsstellen die Registration Authority Zertifikatvorlagen an, kann es passieren, dass bei der Beantragung bzw. Erneuerung der Zertifikate die falsche Zertifizierungsstelle ausgewählt wurde, beispielsweise wenn die Beantragung per Autoenrollment oder per Microsoft Management Console erfolgt, da in diesem Fall eine Zertifizierungsstelle per Zufallsprinzip ausgewählt wird, wenn mehrere zur Wahl stehen.
• Eines oder beide Registration Authority Zertifikate haben nicht die korrekte Key Usage Erweiterung konfiguriert. Das CEP Encryption Zertifikat benötigt "Key Encipherment", das Enrollment Agent Zertifikat benötigt "Signature".
• Die Identität des SCEP-Anwendungspools im Internet Information Server (IIS) hat keine Leserechte auf die privaten Schlüssel der Zertifikate (etwa wenn ein Domänenkonto oder ein Group Managed Service Account (gMSA) konfiguriert ist, oder wenn die Registration Authority Zertifikate manuell beantragt wurden und keine Berechtigungen für den SCEP-Anwendungspool auf den privaten Schlüssel vergeben wurden).
• Die Registration Authority Zertifikate können nicht verifiziert werden, weil ihr Sperrstatus nicht überprüft werden kann. Beispiele hierfür können sein:
  • Die Registration Authority Zertifikate enthalten keine Sperrinformationen (engl. CRL Distribution Point, CRLDP), da die Zertifizierungsstelle nicht konfiguriert ist, diese in die ausgestellten Zertifikate einzutragen.
  • Die Sperrlistenverteilungspunkte sind nicht erreichbar.
  • Die Sperrlisten oder können vom Sperrlistenverteilpunkt nicht abgerufen werden. Hier auch daran denken, dass "Double Escaping" auf dem IIS Webserver aktiviert sein muss, wenn Deltasperrlisten verwendet werden.
  • Die Sperrlisten sind abgelaufen.

Weiterführende Links:

• Eigene Registration Authority (RA) Zertifikatvorlagen für den Registrierungsdienst für Netzwerkgeräte (NDES) verwenden
• Die Registration Authority (RA) Zertifikate für Network Device Enrollment Service (NDES) erneuern
• Den Registrierungsdienst für Netzwerkgeräte (NDES) ohne Enterprise Administrator Berechtigungen installieren
• Liste der Use Cases für Zertifikate, die bestimmte Cryptographic Service Provider (CSP) oder Key Storage Provider (KSP) benötigen
• Grundlagen: Überprüfung des Sperrstatus von Zertifikaten

Externe Quellen

• Microsoft – NDES Site Shows ‘HTTP Error 500.0 – Internal Server Error’ (Steve Long)
• ConfigMgr – NDES Certificate Deployment fails due to Network Device Enrollment Service failure (Martin Wüthrich)
• 0x80070057 – A story of Network Device Enrollment Service and certificates (Robert Kooistra)