- Es wird für einen Benutzer ein Zertifikat von einer Zertifizierungsstelle über die Verwaltungskonsole für Zertifikate (certmgr.msc) beantragt.
- Man verwendet hierbei den Enroll on Behalf of (EOBO) Mechanismus.
- Die Beantragung des Zertifikats schlägt mit folgender Fehlermeldung fehl:
A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)
Die Zertifizierungsstelle wird das Ereignis Nr. 22 protokollieren.
Ursache
Tritt auf, wenn die Zertifizierungsstelle, welche das Enrollment-Agenten-Zertifikat ausgestellt hat, nicht Mitglied von NTAuthCertificates im Active Directory ist.
Das NTAuthCertificates Objekt befindet sich unterhalb des Public Key Services Containers innerhalb der Konfigurationspartition der Active Directory Gesamtstruktur. In ihm sind alle Zertifizierungsstellen-Zertifikate hinterlegt, welche für eine Zertifikatbasierte Anmeldung im Windows Ökosystem verwendet werden können.
Der vollständige LDAP-Pfad lautet:
CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,{Forest-Root-Domain}
Folgende auf Zertifikaten aufbauende Funktionen erfordern das Vorhandensein des CA-Zertifikats in NTAuthCertificates Objekt:
Funktion | Beschreibung |
---|---|
Enroll on Behalf Of (EOBO) | Das CA-Zertifikat der Zertifizierungsstelle , welche die Zertifikate für die Enrollment Agenten ausstellt, muss sich in NTAuthCertificates befinden. |
Key Recovery / Private Key Archivierung | Das CA-Zertifikat der Zertifizierungsstelle, welche die Schlüssel archiviert, muss sich in NTAuthCertificates befinden. |
Smartcard Logon | Das CA-Zertifikat der Zertifizierungsstelle, welche die Zertifikate der Domänencontroller und der anmeldenden Benutzer ausstellt, muss sich in NTAuthCertificates befinden. |
Windows Hello for Business | Identisch zu Smartcard Logon. Wenn Windows Hello for Business ohne Zertifikate wird, muss nur die Zertifizierungsstelle für Domänencontroller eingetragen sein. |
Netzwerkrichtlinienserver (Network Policy Server, NPS), wenn Zertifikatbasierte Anmeldungen verarbeitet werden (z.B. 802.1x über drahtloses oder verkabeltes Netzwerk, DirectAccess, Always ON VPN) | Das CA-Zertifikat der Zertifizierungsstelle, welche die Zertifikate der anmeldenden Benutzer oder Computer ausstellt, muss sich in NTAuthCertificates befinden. |
EFS Dateiwiederherstellungs-Agenten | Das CA-Zertifikat der Zertifizierungsstelle, welche die Zertifikate der Dateiwiederherstellungs-Agenten ausstellt, muss sich in NTAuthCertificates befinden. |
IIS Client Certificate Mapping (gegen Active Directory) | Das CA-Zertifikat der Zertifizierungsstelle, welche die Zertifikate der anmeldenden Benutzer ausstellt, muss sich in NTAuthCertificates befinden. |
Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES), nur Renewal-Modus | Betrifft nur den Renewal-Modus, also das signieren einer Zertifikatanforderung mit einem bestehenden Zertifikat. Das CA-Zertifikat der Zertifizierungsstelle, welche die Zertifikate der zu erneuernden Zertifikate ausgestellt hat, muss sich in NTAuthCertificates befinden. |
Wird eine Active Directory integrierte Zertifizierungsstelle (Enterprise CA) neu installiert, wird ihr CA-Zertifikat automatisch von der Installationsroutine in das NTAuthCertificates Objekt kopiert. Im vorliegenden Fall wurde das CA-Zertifikat nachträglich aus dem Objekt entfernt.
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Für eine Erklärung zur Aufnahme des Zertifizierungsstellen-Zertifikats in das NTAuthCertificates Objekt siehe Artikel "Bearbeiten des NTAuthCertificates Objektes".
Aus Sicherheitsgründen kann es durchaus empfehlenswert sein, dass sich ein Zertifizierungsstellen-Zertifikat nicht im NTAuthCertificates Objekt befindet. Hinzugefügte CA-Zertifikate werden von allen zuvor aufgelisteten Funktionen als vertrauenswürdig angesehen. Dies kann ein Sicherheitsrisiko bedeutet, angenommen, die Zertifizierungsstelle wird von einem Angreifer übernommen. Bevor man neue CA-Zertifikats in das NTAuthCertificates Objekt aufnimmt, sollte eine Sicherheitsbewertung stattfinden. Üblicherweise hat es einen Grund, dass das CA-Zertifikat auf NTAuthCertificates entfernt wurde.
2 Gedanken zu „Die Beantragung eines Zertifikats über Enroll on Behalf of (EOBO) schlägt fehl mit der Fehlermeldung "A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)"“
Kommentare sind geschlossen.