Folgendes Szenario angenommen:
- Man versucht, ein Zertifikat über einen Certificate Enrollment Policy Web Service (CEP) von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
- Der Vorgang schlägt mit folgender Fehlermeldung fehl:
Fehler: Die Serververbindung wurde aufgrund eines Fehlers beendet. 0x80072efe (WinHttp:12030) ERROR_WINHTTP_CONNECTION_ERROR
Die Zertifikatregistrierungs-Webdienste (Certificate Enrollment Policy Web Service, CEP und Certificate Enrollment Web Service, CES) ermöglichen die automatische Beantragung und Erneuerung von Zertifikaten einer Zertifizierungsstelle über eine Webbasierte Schnittstelle. Somit ist kein direkter Kontakt zur Zertifizierungsstelle über Remote Procedure Call (RPC) notwendig. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Zertifikatbeantragung über Certificate Enrollment Web Services (CEP, CES)".
Ruft man die CEP Adresse mit einem Browser auf, erhält man die Fehlermeldung, dass keine passenden SSL Cipher Suiten ermittelt werden konnten.
Mögliche Ursachen
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Im vorliegenden Fall war dem CEP ein Hardware Load Balancer vorgeschaltet, auf welchem es offenbar ein Konfigurationsproblem gab. Das Problem konnte durch Neuanlage der Konfiguration auf dem Hardware Load Balancer behoben werden.
Eine Paketanalye mit WireShark zeigte, dass vom Load Balancer auf das SSL Client Hello immer wieder eine RST Nachricht zurückgesendet wurde. Der Client reduzierte so lange die Cipher Suites, bis alle fehlgeschlagen waren, was auch die Meldung beim Aufruf mit dem Browser erklärt.
Weiterführende Links:
- Den Certificate Enrollment Policy Web Service (CEP) für den Betrieb mit einem Domänenkonto konfigurieren
- Den Certificate Enrollment Policy Web Service (CEP) für den Betrieb mit einem Group Managed Service Account (gMSA) konfigurieren