Benötigte Firewallregeln für die Zertifizierungsstellen-Webregistrierung (CAWE)

Implementiert man eine Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE), ist oft eine Planung der im Netzwerk zu erstellenden Firewallregeln erforderlich. Nachfolgend eine Aufstellung der benötigten Firewallregeln und eventueller Fallstricke.

Die Zertifizierungsstellen-Webregistrierung ist eine sehr alte Funktion aus Windows 2000 Zeiten – und wurde zuletzt mit dem Release von Windows Server 2003 angepasst. Entsprechend alt und potentiell unsicher ist der Code. Ebenso unterstützt die Funktion keine Zertifikatvorlagen mit Version 3 oder neuer – damit sind keine Zertifikatvorlagen nutzbar, welche Funktionen verwenden, die mit Windows Vista / Windows Server 2008 oder neuer eingeführt wurden. Es wird empfohlen, die Zertifizierungsstellen-Webregistrierung nicht einzusetzen und stattdessen eine Beantragung der Zertifikate über Bordmittel oder das PSCertificateEnrollment PowerShell Modul vorzunehmen.

Benötigte Firewallregeln von Clients zur Zertifizierungsstellen-Webregistrierung

Damit Clients die Zertifizierungsstellen-Webregistrierung verwenden können, müssen die diese entweder per HTTP (nicht empfohlen) oder HTTPS aufrufen können.

NetzwerkprotokollZiel-PortProtokoll
TCP80Hypertext Transfer Protocol (HTTP, nicht empfohlen)
TCP443Hypertext Transfer Protocol Secure (HTTPS)

Benötigte Firewallregeln von der Zertifizierungsstellen-Webregistrierung zur Zertifizierungsstelle

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Ganz analog zu allen anderen Clients sind die Ports für die Zertifikatbeantragung zur Zertifizierungsstelle zu öffnen.

NetzwerkprotokollZiel-PortProtokoll
TCP135RPC Endpoint Mapper
TCP49152-65535RPC dynamische Ports

Benötigte Firewallregeln von der Zertifizierungsstelle zur Zertifizierungsstellen-Webregistrierung

Speziell an der CAWE Rolle ist, dass die Zertifizierungsstelle als Antwort auf eine Zertifikatanforderung vom CAWE Server eine Verbindung zu dessen dynamischen RPC Ports zu öffnen versucht. Wenn diese Firewallregel nicht eingerichtet wird, dauert die Beantragung von Zertifikaten über die CAWE sehr lange oder bricht gänzlich ab. Die Firewallregel muss sowohl im Netzwerk als auch auf der lokalen Windows-Firewall des CAWE Servers eingerichtet werden.

NetzwerkprotokollZiel-PortProtokoll
TCP135RPC Endpoint Mapper
TCP49152-65535RPC dynamische Ports

Zertifizierungsstellen-Webregistrierung zur Domäne

Der CAWE-Server selbst ist ein Domänenmitglied, sodass hier die allgemeinen Regeln für die Domänenkommunikation zum Tragen kommen.

NetzwerkprotokollZiel-PortProtokoll
TCP und UDP53Domain Name System
TCP88Kerberos
UDP123NTP
TCP135RPC Endpoint Mapper
TCP und UDP389LDAP
TCP445Server Message Block
RPC Named Pipes
TCP636LDAP over SSL
TCP3268LDAP-GC
TCP3269LDAP-GC over SSL
TCP49152-65535RPC dynamische Ports

Wiederherstellen der Standard Windows-Firewall-Regeln

Bitte beachten, dass die untenstehenden Standard-Regeln nicht die Kommunikation von der Zertifizierungsstelle zur Webregistrierung beinhalten. Hierfür muss eine eigene Firewallregel erstellt werden.

Enable-NetFirewallRule -Name "IIS-WebServerRole-HTTP-In-TCP"
Enable-NetFirewallRule -Name "IIS-WebServerRole-HTTPS-In-TCP"

Weiterführende Links:

de_DEDeutsch