Wird eine Zertifizierungsstelle installiert, ist automatisch das "Windows Default" Exit Modul aktiviert. Dieses ermöglicht den Versand von E-Mail Nachrichten bei bestimmten Ereignissen der Zertifizierungsstelle. Die meisten Unternehmen verwenden diese Funktion jedoch überhaupt nicht.
Aber auch wenn das Exitmodul überhaupt nicht verwendet wird, verursacht es Sitzungen auf der Zertifizierungsstellen-Datenbank (siehe Ereignis Nr. 46). Auf Zertifizierungsstellen mit hoher Last kann dies problematisch sein.
Wenn die Funktionen, die es bietet, gar nicht verwendet werden (unter Windows Server Core funktioniert das "Windows Default" Exitmodul grundsätzlich nicht), kann es auch komplett deaktiviert werden.
Ein Beispielprojekt zur Erstellung eines eigenen Exit Moduls findet sich im Artikel "Ein Exit Modul für die Zertifizierungsstelle in C# erstellen". Damit ist die Möglichkeit gegeben, ein Exit Modul mit auf die eigenen Bedürfnisse zugeschnittenem Funktionsumfang zu entwickeln.
Vorgehensweise
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Exit Modul deaktivieren (Zertifizierungsstellen-Managementkonsole)
Zum deaktivieren des Exitmoduls muss es lediglich aus der Konfiguration der Zertifizierungsstelle entfernt werden.
Anschließend ist wieder ein Neustart des Zertifizierungsstellen-Dienstes erforderlich um die Änderungen anzuwenden.
In der Registrierung der Zertifizierungsstelle ist die Konfiguration des aktiven Exit Moduls in folgendem Pfad hintelegt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\{Common-Name-der-Zertifizierungsstelle}\ExitModules
Ist kein Exit Modul konfiguriert, ist der "Active" Wert entsprechend leer.
Exit Modul deaktivieren (PowerShell)
Das Ziel kann auch sehr einfach via PowerShell erreicht werden:
$Root = "HKLM:\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration"
$CaName = (Get-ItemProperty -Path $Root -Name Active).Active
Clear-ItemProperty -Path "$Root\$CaName\ExitModules" -Name Active
Exitmodul wieder aktivieren
Im Gegensatz zu Policy Modulen ist es – sofern vorhanden – auch möglich, mehrere Exit Module gleichzeitig zu aktivieren.
Anschließend ist wieder ein Neustart des Zertifizierungsstellen-Dienstes erforderlich um die Änderungen anzuwenden.
In der Registrierung ist der "Active" Wert entsprechend wieder gefüllt.
Weiterführende Links:
- Das SMTP Exit Modul funktioniert nicht auf Windows Server Core
- Die Ausstellung von Zertifikaten oder Sperrlisten schlägt fehl mit Fehlercode CERTSRV_E_NO_DB_SESSIONS
- Ein Exit Modul für die Zertifizierungsstelle in C# erstellen
Externe Quellen
- Exit Modules – Win32 apps (Microsoft)
- Writing Custom Exit Modules – Win32 apps (Microsoft)
- Managing Policy and Exit Modules (Microsoft)
- Select a Different Exit Module (Microsoft)
- Certificate Services Architecture (Microsoft)
Deutsch 
English
Ein Gedanke zu „Betreiben der Zertifizierungsstelle ohne Exit Modul“
Kommentare sind geschlossen.