September 2020 – Uwe Gradenegger

Die Sperrprüfung über den Onlineresponder (OCSP) schlägt fehl mit HTTP Fehlercode 404 (HTTP_E_STATUS_NOT_FOUND)

Folgendes Szenario angenommen:

Nach der Installation eines Onlineresponders (OCSP), Einrichtung einer Sperrkonfiguration und Anpassung der Zertifizierungsstelle bzw. Konfiguration einer Gruppenrichtlinie, die Clients zwingt, den Onlineresponder zu verwenden, fällt beim Funktionstest auf, dass dieser dennoch nicht funktioniert.
Die Prüfung der OCSP-Adresse meldet HTTP Status 404 (not found).

Die Installation einer ins Active Directory integrierten Zertifizierungsstelle mittels Windows PowerShell schlägt fehl mit Fehlermeldung "A value for the attribute was not in the acceptable range of values. 0x80072082 (WIN32: 8322 ERROR_DS_RANGE_CONSTRAINT)"

Folgendes Szenario angenommen:

Es wird eine ins Active Directory integrierte Zertifizierungsstelle (Enterprise CA) mittels Windows PowerShell installiert (Install-AdcsCertificationAuthority).
Die Rollenkonfiguration schlägt mit folgender Fehlermeldung fehl:

Install-AdcsCertificationAuthority : Active Directory Certificate Services setup failed with the following error: A value for the attribute was not in the acceptable range of values. 0x80072082 (WIN32: 8322 ERROR_DS_RANGE_CONSTRAINT)

Übersicht über die für die PKI relevanten Active Directory Ereignisse

Nachfolgend eine Übersicht über die für die Public Key Infrastruktur relevanten auf Domänencontrollern erzeugten Ereignisse in der Windows-Ereignisanzeige.

Domänencontroller (oder andere Teilnehmer) zwingen, einen Onlineresponder (OCSP) zu verwenden

In der Standardeinstellung werden Windows-Systeme, auch wenn ein Onlineresponder (OCSP) konfiguriert ist, nach einer bestimmten Anzahl von OCSP-Anfragen auf eine (falls vorhanden) Sperrliste zurückfallen, weil dies in einem solchen Fall meistens effizienter ist. Nicht immer ist dieses Verhalten aber gewünscht.

Setzt man beispielsweise Smartcard-Anmeldungen ein, möchte man vielleicht wissen, ob Anmeldungen mit unberechtigt ausgestellten Zertifikaten ausgeführt wurden. In Verbindung mit dem deterministischen Good des Onlineresponders kann man so einen (beinahe) lückenlosen Auditierungspfad für alle Smartcard-Anmeldungen schaffen.

Die "Magic Number" für den Onlineresponder konfigurieren

Auch wenn ein Onlineresponder im Netzwerk vorhanden ist, und die Zertifizierungsstellen dessen Adresse in die Authority Information Access (AIA) Erweiterung der ausgestellten Zertifikate eingetragen hat, ist nicht immer garantiert, dass der Onlineresponder tatsächlich verwendet wird.

Eine Stellgröße hierbei ist die "Magic Number", welche auf jedem Windows Betriebssystem vorhanden ist. Sie bewirkt, dass das System auf (falls vorhanden) Sperrlisten zurückfällt, wenn für die gleiche Zertifizierungsstelle zu oft Anfragen per OCSP erfolgen.

Übersicht über die vom Onlineresponder (OCSP) generierten Audit-Ereignisse

Nachfolgend eine Übersicht über die vom Onlineresponder erzeugten Audit-Ereignisse in der Windows-Ereignisanzeige.

Im Gegensatz zu betrieblichen Ereignissen, die oft unter dem Begriff "Monitoring" verstanden werden, handelt es sich bei der Auditierung für die Zertifizierungsstelle um die Konfiguration der Protokollierung von sicherheitsrelevanten Ereignissen.

Deterministisches "Good" für den Onlineresponder (OCSP) konfigurieren

In der Standard-Konfiguration liefert der Onlineresponder für angefragte Zertifikate, die nicht auf einer der konfigurierten Sperrlisten auftauchen, den Status "Good" zurück.

Dies kann problematisch sein, da der Onlineresponder keine Kenntnis über von den Zertifizierungsstellen ausgestellte Zertifikate besitzt. Gelingt es einem Angreifer, mittels des privaten Schlüssels der Zertifizierungsstelle ein Zertifikat ohne deren Kenntnis auszustellen, würde dies nicht vom Onlineresponder erkannt werden, und würde auch im Auditprotokoll als "Good" auftauchen.

Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The device that is required by this cryptographic provider is not ready for use. 0x80090030 (-2146893776 NTE_DEVICE_NOT_READY)"

Folgendes Szenario angenommen:

Es ist eine Zertifizierungsstelle im Netzwerk implementiert.
Der Zertifizierungsstellen-Dienst startet nicht.
Beim Versuch, den Zertifizierungsstellen-Dienst zu starten, erhält man folgende Fehlermeldung:

The device that is required by this cryptographic provider is not ready for use. 0x80090030 (-2146893776 NTE_DEVICE_NOT_READY)

Details zum Ereignis mit ID 5127 der Quelle Microsoft-Windows-Security-Auditing

Ereignisquelle:	Microsoft-Windows-Security-Auditing
Ereignis-ID:	5127 (0x1407)
Ereignisprotokoll:	Security
Ereignistyp:	Information
Ereignistext (englisch):	The OCSP Revocation Provider successfully updated the revocation information. CA Configuration ID: %1 Base CRL Number: %2 Base CRL This Update: %3 Base CRL Hash: %4 Delta CRL Number: %5 Delta CRL Indicator: %6 Delta CRL This Update: %7 Delta CRL Hash: %8
Ereignistext (deutsch):	Der OCSP-Antwortdienst hat die Sperrungsinformationen erfolgreich aktualisiert. Konfigurations-ID der Zertifizierungsstelle: %1 Basissperrlistennummer: %2 Basissperrliste, diese Aktualisierung: %3 Basissperrlistenhash: %4 Deltasperrlistennummer: %5 Deltasperrlistenanzeige: %6 Deltasperrliste, diese Aktualisierung: %7 Deltasperrlistenhash: %8

Details zum Ereignis mit ID 5126 der Quelle Microsoft-Windows-Security-Auditing

Ereignisquelle:	Microsoft-Windows-Security-Auditing
Ereignis-ID:	5126 (0x1406)
Ereignisprotokoll:	Security
Ereignistyp:	Information
Ereignistext (englisch):	Signing Certificate was automatically updated by the OCSP Responder Service. CA Configuration ID: %1 New Signing Certificate Hash: %2
Ereignistext (deutsch):	Das Signaturzertifikat wurde automatisch vom OCSP-Antwortdienst aktualisiert. Konfigurations-ID der Zertifizierungsstelle: %1 Neuer Signaturzertifikathash: %2

Details zum Ereignis mit ID 5125 der Quelle Microsoft-Windows-Security-Auditing

Ereignisquelle:	Microsoft-Windows-Security-Auditing
Ereignis-ID:	5125 (0x1405)
Ereignisprotokoll:	Security
Ereignistyp:	Information
Ereignistext (englisch):	A request was submitted to OCSP Responder Service.
Ereignistext (deutsch):	An den OCSP-Antwortdienst wird eine Anforderung übermittelt.

Details zum Ereignis mit ID 5124 der Quelle Microsoft-Windows-Security-Auditing

Ereignisquelle:	Microsoft-Windows-Security-Auditing
Ereignis-ID:	5124 (0x1404)
Ereignisprotokoll:	Security
Ereignistyp:	Information
Ereignistext (englisch):	A security setting was updated on OCSP Responder Service. New Value: %1
Ereignistext (deutsch):	Für den OCSP-Antwortdienst wurde eine Sicherheitseinstellung aktualisiert. Neuer Wert: %1

Details zum Ereignis mit ID 5123 der Quelle Microsoft-Windows-Security-Auditing

Ereignisquelle:	Microsoft-Windows-Security-Auditing
Ereignis-ID:	5123 (0x1403)
Ereignisprotokoll:	Security
Ereignistyp:	Information
Ereignistext (englisch):	A configuration entry changed in the OCSP Responder Service. Property Name: %1 New Value: %2
Ereignistext (deutsch):	Im OCSP-Antwortdienst wurde ein Konfigurationseintrag geändert. Eigenschaftenname: %1 Neuer Wert: %2

Details zum Ereignis mit ID 5122 der Quelle Microsoft-Windows-Security-Auditing

Ereignisquelle:	Microsoft-Windows-Security-Auditing
Ereignis-ID:	5122 (0x1402)
Ereignisprotokoll:	Security
Ereignistyp:	Information
Ereignistext (englisch):	A Configuration entry changed in the OCSP Responder Service. CA Configuration ID: %1 New Value: %2
Ereignistext (deutsch):	Im OCSP-Antwortdienst wurde ein Konfigurationseintrag geändert. Konfigurations-ID der Zertifizierungsstelle: %1 Neuer Wert: %2

Details zum Ereignis mit ID 5121 der Quelle Microsoft-Windows-Security-Auditing

Ereignisquelle:	Microsoft-Windows-Security-Auditing
Ereignis-ID:	5121 (0x1401)
Ereignisprotokoll:	Security
Ereignistyp:	Information
Ereignistext (englisch):	OCSP Responder Service Stopped.
Ereignistext (deutsch):	Der OCSP-Antwortdienst wurde beendet.