Ereignisquelle: | Microsoft-Windows-Kerberos-Key-Distribution-Center |
Ereignis-ID: | 200 (0xC8) |
Ereignisprotokoll: | Microsoft-Windows-Kerberos-Key-Distribution-Center/Operational |
Ereignistyp: | Warnung |
Ereignistext (englisch): | The Key Distribution Center (KDC) cannot find a suitable certificate to use. This KDC is not enabled for smart card or certificate authentication. |
Ereignistext (deutsch): | Das Schlüsselverteilungscenter (KDC) kann kein geeignetes Zertifikat finden. Dieses KDC ist nicht für die Smartcard- oder Zertifikatauthentifizierung aktiviert. |
Monat: September 2020
Details zum Ereignis mit ID 21 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center
Ereignisquelle: | Microsoft-Windows-Kerberos-Key-Distribution-Center |
Ereignis-ID: | 21 (0x80000015) |
Ereignisprotokoll: | System |
Ereignistyp: | Warnung |
Ereignistext (englisch): | The client certificate for the user %1\%2 is not valid, and resulted in a failed smartcard logon. Please contact the user for more information about the certificate they’re attempting to use for smartcard logon. The chain status was : %3 |
Ereignistext (deutsch): | Das Clientzertifikat für den Benutzer %1\%2 ist nicht gültig. Das Ergebnis war ein Fehler bei der Smartcard-Anmeldung. Wenden Sie sich an den Benutzer, um weitere Informationen über das Zertifikat zu erhalten, das für die Smartcard-Anwendung verwendet werden soll. Kettenstatus: %3 |
Details zum Ereignis mit ID 302 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center
Ereignisquelle: | Microsoft-Windows-Kerberos-Key-Distribution-Center |
Ereignis-ID: | 302 (0x12E) |
Ereignisprotokoll: | Microsoft-Windows-Kerberos-Key-Distribution-Center/Operational |
Ereignistyp: | Information |
Ereignistext (englisch): | The Key Distribution Center (KDC) uses the below KDC certificate for smart card or certificate authentication. Kdc Certificate Information: Issuer Name: %1 Serial Number: %2 Thumbprint: %3 Template: %4 |
Ereignistext (deutsch): | Das Schlüsselverteilungscenter (KDC) verwendet das folgende Zertifikat für die Smartcard- oder Zertifikatauthentifizierung. KDC-Zertifikatinformationen: Ausstellername: %1 Seriennummer: %2 Fingerabdruck: %3 Vorlage: %4 |
Details zum Ereignis mit ID 19 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center
Ereignisquelle: | Microsoft-Windows-Kerberos-Key-Distribution-Center |
Ereignis-ID: | 19 (0x80000013) |
Ereignisprotokoll: | System |
Ereignistyp: | Warnung |
Ereignistext (englisch): | This event indicates an attempt was made to use smartcard logon, but the KDC is unable to use the PKINIT protocol because it is missing a suitable certificate. |
Ereignistext (deutsch): | Dieses Ereignis zeigt an, dass ein Versuch unternommen wurde, die Smartcard-Anmeldung zu verwenden, aber der KDC kann das PKINIT-Protokoll nicht verwenden, weil ein geeignetes Zertifikat fehlt. |
Details zum Ereignis mit ID 20 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center
Ereignisquelle: | Microsoft-Windows-Kerberos-Key-Distribution-Center |
Ereignis-ID: | 20 (0x80000014) |
Ereignisprotokoll: | System |
Ereignistyp: | Warnung |
Ereignistext (englisch): | The currently selected KDC certificate was once valid, but now is invalid and no suitable replacement was found. Smartcard logon may not function correctly if this problem is not remedied. Have the system administrator check on the state of the domain’s public key infrastructure. The chain status is in the error data. |
Ereignistext (deutsch): | Das zurzeit ausgewählte KDC-Zertifikat war zuvor gültig, ist jetzt aber ungültig. Es wurde kein geeigneter Ersatz gefunden. Die Smartcard-Anmeldung funktioniert ggf. nicht richtig, wenn dieses Problem nicht behoben wird. Lassen Sie den Systemadministrator den Status der Public Key-Infrastruktur (PKI) der Domäne überprüfen. Der Kettenstatus ist in den Fehlerdaten enthalten. |
Details zum Ereignis mit ID 29 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center
Ereignisquelle: | Microsoft-Windows-Kerberos-Key-Distribution-Center |
Ereignis-ID: | 29 (0x8000001D) |
Ereignisprotokoll: | System |
Ereignistyp: | Warnung |
Ereignistext (englisch): | The Key Distribution Center (KDC) cannot find a suitable certificate to use for smart card logons, or the KDC certificate could not be verified. Smart card logon may not function correctly if this problem is not resolved. To correct this problem, either verify the existing KDC certificate using certutil.exe or enroll for a new KDC certificate. |
Ereignistext (deutsch): | Vom Schlüsselverteilungscenter (Key Distribution Center, KDC) kann kein passendes Zertifikat für Smartcard-Anmeldungen gefunden werden, oder das KDC-Zertifikat konnte nicht verifiziert werden. Das Anmelden per Smartcard funktioniert möglicherweise nicht ordnungsgemäß, so lange dieses Problem nicht behoben wurde. Verifizieren Sie zum Beheben dieses Problems entweder das vorhandene KDC-Zertifikat mithilfe von "certutil.exe", oder registrieren Sie sich für ein neues KDC-Zertifikat. |
Details zum Ereignis mit ID 120 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center
Ereignisquelle: | Microsoft-Windows-Kerberos-Key-Distribution-Center |
Ereignis-ID: | 120 (0x78) |
Ereignisprotokoll: | Microsoft-Windows-Kerberos-Key-Distribution-Center/Operational |
Ereignistyp: | Fehler |
Ereignistext (englisch): | The Key Distribution Center (KDC) failed to validate its current KDC certificate. This KDC might not be enabled for smart card or certificate authentication. Kdc Certificate Information: Issuer Name: %1 Serial Number: %2 Thumbprint: %3 Template: %4 Kerberos Error: %5 Validation Error: %6 |
Ereignistext (deutsch): | Das Schlüsselverteilungscenter (KDC) konnte das aktuelle KDC-Zertifikat nicht überprüfen. Dieses KDC kann möglicherweise nicht für die Smartcard- oder Zertifikatauthentifizierung verwendet werden. KDC-Zertifikatinformationen: Ausstellername: %1 Seriennummer: %2 Fingerabdruck: %3 Vorlage: %4 Kerberos-Fehler: %5 Überprüfungsfehler: %6 |
Den Signaturalgorithmus einer Zertifizierungsstellen-Hierarchie ändern, ohne neue Zertifizierungsstellen-Zertifikate auszustellen
Mitunter kann es erforderlich sein, den Signaturalgorithmus einer bereits installierten Zertifizierungsstellen-Hierarchie nachträglich zu ändern.
Häufig ist dies der Fall, weil man diese mit PKCS#1 Version 2.1 installiert hat und im Nachgang leider feststellen muss, dass nicht alle Anwendungen zu den daraus entstehenden Zertifikaten kompatibel sind, und die Hierarchie somit nicht verwenden können.
Ist es noch relativ einfach, den Signaturalgorithmus für die von einer Zertifizierungsstelle ausgestellten Zertifikate nachträglich zu ändern, wird es bei den Zertifizierungsstellen-Zertifikaten schon schwieriger.
„Den Signaturalgorithmus einer Zertifizierungsstellen-Hierarchie ändern, ohne neue Zertifizierungsstellen-Zertifikate auszustellen“ weiterlesenDer Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)"
Folgendes Szenario angenommen:
- Es ist eine Zertifizierungsstelle im Netzwerk implementiert.
- Der Zertifizierungsstellen-Dienst startet nicht.
- Beim Versuch, den Zertifizierungsstellen-Dienst zu starten, erhält man folgende Fehlermeldung:
The parameter is incorrect. 0x57 (WIN32: 87 ERROR_INVALID_PARAMETER)„Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)"“ weiterlesen
PKCS#1 Version 2.1 für ausgestellte Zertifikate und Sperrlisten einer Zertifizierungsstelle konfigurieren
Mitunter kann es erforderlich sein, den Signaturalgorithmus einer bereits installierten Zertifizierungsstelle nachträglich zu ändern.
„PKCS#1 Version 2.1 für ausgestellte Zertifikate und Sperrlisten einer Zertifizierungsstelle konfigurieren“ weiterlesenPKCS#1 Version 2.1 für eine Stammzertifizierungsstelle (Root CA) einsetzen (eigenes und ausgestellte Zertifikate)
Vor der Installation einer eigenständigen Stammzertifizierungsstelle (Standalone Root CA) kommt die Frage auf, welche kryptographischen Algorithmen eingesetzt werden sollen.
„PKCS#1 Version 2.1 für eine Stammzertifizierungsstelle (Root CA) einsetzen (eigenes und ausgestellte Zertifikate)“ weiterlesenGrundlagen: Schlüsselalgorithmen, Signaturalgorithmen und Signaturhashalgorithmen
Bei der Planung einer Public Key Infrastruktur kommt die Frage auf, welche kryptographischen Algorithmen diese verwenden sollte.
Die wichtigsten Grundlagen werden nachfolgend erläutert.
„Grundlagen: Schlüsselalgorithmen, Signaturalgorithmen und Signaturhashalgorithmen“ weiterlesenKonfigurieren einer Zertifikatvorlage für Domänencontroller
Auch bei einer vermeintlich simpel zu konfigurierenden Zertifikatvorlage für Domänencontroller gibt es einiges zu beachten.
„Konfigurieren einer Zertifikatvorlage für Domänencontroller“ weiterlesenSmartcard Anmeldung im Netzwerk unterbinden
Installiert man die Active Directory Zertifikatdienste in der Standard-Konfiguration, wird die Umgebung automatisch dafür konfiguriert, dass Smartcard-Anmeldungen von den Domänencontrollern akzeptiert werden.
Wenn die Verwendung von Smartcard Anmeldungen nicht gewünscht ist, ist es daher sinnvoll, die Funktionalität abzustellen, um im Falle der Kompromittierung der Zertifizierungsstelle das Active Directory nicht zu gefährden.
„Smartcard Anmeldung im Netzwerk unterbinden“ weiterlesenDen Zertifikatbeantragungs-Webdienst (CES) nach der Migration einer Zertifizierungsstelle auf einen neuen Server anpassen
Wird im Netzwerk ein Zertifikatbeantragungs-Webdienst (Certificate Enrollment Web Service, CES) betrieben, ist es nach der "Migration einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) auf einen anderen Server" erforderlich, dass die Konfiguration des CES an die neue Situation angepasst wird.
In der Konfiguration des CES ist ein Konfigurations-String (Config String) hinterlegt, welcher den Servernamen der verbundenen Zertifizierungsstelle enthält. Ändert sich dieser, muss die Konfiguration entsprechend angepasst werden.
„Den Zertifikatbeantragungs-Webdienst (CES) nach der Migration einer Zertifizierungsstelle auf einen neuen Server anpassen“ weiterlesen