Aus Sicherheitsgründen kann es sinnvoll sein, den CAWE statt mit einem normalen Domänenkonto lieber mit einem Group Managed Service Account (gMSA) zu betreiben. Diese Option bietet den charmanten Vorteil, dass das Passwort des Kontos automatisch geändert wird, und dieser Schritt somit nicht von Hand vorgenommen werden muss, was leider viel zu oft vergessen wird.
„Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Group Managed Service Account (gMSA) konfigurieren“ weiterlesenAutor: Uwe Gradenegger
Benötigte Windows-Sicherheitsberechtigungen für die Zertifizierungsstellen-Webregistrierung (CAWE)
Angenommen, man implementiert das Active Directory-Verwaltungsebenenmodell (Administrative Tiering Model) von Microsoft, oder wendet vergleichbare Härtungsmaßnahmen auf seinen Servern an, hat dies Auswirkungen auf die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE).
„Benötigte Windows-Sicherheitsberechtigungen für die Zertifizierungsstellen-Webregistrierung (CAWE)“ weiterlesenBenötigte Firewallregeln für den Registrierungsdienst für Netzwerkgeräte (NDES)
Implementiert man einen Network Device Enrollment Service (NDES), ist oft eine Planung der im Netzwerk zu erstellenden Firewallregeln erforderlich. Nachfolgend eine Aufstellung der benötigten Firewallregeln und eventueller Fallstricke.
„Benötigte Firewallregeln für den Registrierungsdienst für Netzwerkgeräte (NDES)“ weiterlesenBenötigte Firewallregeln für den Zertifikatregistrierungsrichtlinien-Webdienst (CEP)
Implementiert man einen Zertifikatregistrierungsrichtlinien-Webdienst (CEP), ist oft eine Planung der im Netzwerk zu erstellenden Firewallregeln erforderlich. Nachfolgend eine Aufstellung der benötigten Firewallregeln und eventueller Fallstricke.
„Benötigte Firewallregeln für den Zertifikatregistrierungsrichtlinien-Webdienst (CEP)“ weiterlesenBenötigte Firewallregeln für den Zertifikatregistrierungs-Webdienst (CES)
Implementiert man einen Zertifikatregistrierungs-Webdienst (CES), ist oft eine Planung der im Netzwerk zu erstellenden Firewallregeln erforderlich. Nachfolgend eine Aufstellung der benötigten Firewallregeln und eventueller Fallstricke.
„Benötigte Firewallregeln für den Zertifikatregistrierungs-Webdienst (CES)“ weiterlesenBenötigte Firewallregeln für den Onlineresponder (OCSP)
Implementiert man einen Onlineresponder (OCSP), ist oft eine Planung der im Netzwerk zu erstellenden Firewallregeln erforderlich. Nachfolgend eine Aufstellung der benötigten Firewallregeln und eventueller Fallstricke.
„Benötigte Firewallregeln für den Onlineresponder (OCSP)“ weiterlesenSecure Sockets Layer (SSL) für die Zertifizierungsstellen-Webregistrierung (CAWE) aktivieren
In der Standardkonfiguration nimmt die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment CAWE) nur unverschlüsselte Verbindungen via HTTP an. Es ist angeraten, dass die CAWE für HTTP über TLS (HTTPS) konfiguriert wird, um Mitschnitte des Netzwerkverkehrs zu erschweren. Nachfolgend eine Anleitung.
„Secure Sockets Layer (SSL) für die Zertifizierungsstellen-Webregistrierung (CAWE) aktivieren“ weiterlesenDie Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) dauert sehr lange
Folgendes Szenario angenommen:
- Im Netzwerk ist ein Server für die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) installiert.
- Die Rolle ist auf einem separaten Server, nicht auf der Zertifizierungsstelle direkt installiert.
- Ein Benutzer versucht, ein Zertifikat über die Zertifizierungsstellen-Webregistrierung zu beantragen oder eine vorhandene Zertifikatanforderung an die Zertifizierungsstelle zu übermitteln.
- Der Vorgang ist zwar erfolgreich, jedoch dauert die Beantragung sehr lange (bis zu mehrere Minuten).
Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit Fehlercode "RPC_S_SERVER_UNAVAILABLE"
Folgendes Szenario angenommen:
- Im Netzwerk ist ein Server für die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) installiert.
- Die Rolle ist auf einem separaten Server, nicht auf der Zertifizierungsstelle direkt installiert.
- Ein Benutzer versucht, ein Zertifikat über die Zertifizierungsstellen-Webregistrierung zu beantragen oder eine vorhandene Zertifikatanforderung an die Zertifizierungsstelle zu übermitteln.
- Die Beantragung schlägt mit folgender Fehlermeldung fehl:
Your request failed. An error occurred while the server was processing your request. Contact your administrator for further assistance.
In den Details der Fehlermeldung findet sich folgender Hinweis:
CCertRequest::Submit: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)„Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit Fehlercode "RPC_S_SERVER_UNAVAILABLE"“ weiterlesen
Benötigte Firewallregeln für die Zertifizierungsstellen-Webregistrierung (CAWE)
Implementiert man eine Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE), ist oft eine Planung der im Netzwerk zu erstellenden Firewallregeln erforderlich. Nachfolgend eine Aufstellung der benötigten Firewallregeln und eventueller Fallstricke.
„Benötigte Firewallregeln für die Zertifizierungsstellen-Webregistrierung (CAWE)“ weiterlesenDie Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung "You cannot request a certificate at this time because no certificate types are available."
Folgendes Szenario angenommen:
- Man versucht, ein Zertifikat von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
- Hierzu verwendet man die Microsoft Management Konsole (MMC), entweder für den angemeldeten Benutzer (certmgr.msc) oder für den Computer (certlm.msc).
- Der angemeldete Benutzer hat auch die notwendigen Berechtigungen, Zertifikate von der betreffenden Zertifikatvorlage zu beantragen (Enroll).
- Man bekommt keinerlei Zertifikatvorlagen zur Auswahl angezeigt, obwohl sie korrekt auf den Zertifizierungsstellen veröffentlicht wurden.
- Es gibt auch keine Option "Show hidden templates". Diese erscheint üblicherweise unten links im Dialog.
- Es wird folgende Fehlermeldung angezeigt:
Certificate types are not available. You cannot request a certificate at this time because no certificate types are available. If you need a certificate, contact your administrator.„Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung "You cannot request a certificate at this time because no certificate types are available."“ weiterlesen
Das Veröffentlichen einer Zertifikatvorlage auf einer Zertifizierungsstelle schlägt fehl mit Fehlermeldung "The template information on the CA cannot be modified at this time. This is most likely because the CA service is not running or there are replication delays. Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)"
Folgendes Szenario angenommen:
- Ein Administrator veröffentlicht eine Zertifikatvorlage auf einer Zertifizierungsstelle.
- Der Vorgang schlägt mit folgender Fehlermeldung fehl:
The template information on the CA cannot be modified at this time. This is most likely because the CA service is not running or there are replication delays. Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)„Das Veröffentlichen einer Zertifikatvorlage auf einer Zertifizierungsstelle schlägt fehl mit Fehlermeldung "The template information on the CA cannot be modified at this time. This is most likely because the CA service is not running or there are replication delays. Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)"“ weiterlesen
Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlercode "ERROR_INTERNET_NAME_NOT_RESOLVED"
Folgendes Szenario angenommen:
- Man versucht, ein Zertifikat über einen Certificate Enrollment Web Service (CEP) von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
- Der Vorgang schlägt mit folgender Fehlermeldung fehl:
The name or address could not be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED)„Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlercode "ERROR_INTERNET_NAME_NOT_RESOLVED"“ weiterlesen
Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlercode "ERROR_INTERNET_TIMEOUT"
Folgendes Szenario angenommen:
- Man versucht, ein Zertifikat über einen Certificate Enrollment Web Service (CEP) von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
- Der Vorgang schlägt mit folgender Fehlermeldung fehl:
The operation timed out 0x80072ee2 (INet: 12002 ERROR_INTERNET_TIMEOUT)„Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlercode "ERROR_INTERNET_TIMEOUT"“ weiterlesen
Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlercode "WS_E_ENDPOINT_FAILURE"
Folgendes Szenario angenommen:
- Man versucht, ein Zertifikat über einen Certificate Enrollment Web Service (CEP) von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
- Der Vorgang schlägt mit folgender Fehlermeldung fehl:
The remote endpoint could not process the request. 0x803d000f (-2143485937 WS_E_ENDPOINT_FAILURE)„Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlercode "WS_E_ENDPOINT_FAILURE"“ weiterlesen