Zertifikatregistrierungs-Webdienste – Seite 5

Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlercode "ERROR_WINHTTP_NAME_NOT_RESOLVED"

Folgendes Szenario angenommen:

Man versucht, ein Zertifikat über einen Certificate Enrollment Web Service (CEP) von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
Der Vorgang schlägt mit folgender Fehlermeldung fehl:

Certificate Request Processor: The server name or address could not be resolved 0x80072ee7 (WinHttp: 12007 ERROR_WINHTTP_NAME_NOT_RESOLVED)

Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlercode "ERROR_WINHTTP_INVALID_CA"

Folgendes Szenario angenommen:

Man versucht, ein Zertifikat über einen Certificate Enrollment Web Service (CEP) von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
Der Vorgang schlägt mit folgender Fehlermeldung fehl:

Die Zertifizierungsstelle ist ungültig oder fehlerhaft. 0x80072f0d (WinHttp: 12045 ERROR_WINHTTP_SECURE_INVALID_CA)

Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlercode "WS_E_OPERATION_TIMED_OUT"

Folgendes Szenario angenommen:

Man versucht, ein Zertifikat über einen Certificate Enrollment Web Service (CEP) von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
Der Vorgang schlägt mit folgender Fehlermeldung fehl:

Certificate Request Processor: The operation did not complete within the time allotted. 0x803d0006 (-2143485946 WS_E_OPERATION_TIMED_OUT)

Die Beantragung eines Zertifkats über den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung "The requested certificate template is not supported by this CA."

Folgendes Szenario angenommen:

Man versucht, ein Zertifikat über einen Certificate Enrollment Policy Web Service (CEP) von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
Der Vorgang schlägt mit folgender Fehlermeldung fehl:

The requested certificate template is not supported by this CA.

Debug Protokollierung für den Certificate Enrollment Policy Web Service (CEP) aktivieren

Versucht man, einem Fehler im Certificate Enrollment Policy Web Service (CEP) auf die Spur zu kommen, ist es hilfreich, das Debug Logging zu aktivieren.

Die Beantragung eines Zertifkats über den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung "ERROR_WINHTTP_CONNECTION_ERROR"

Folgendes Szenario angenommen:

Man versucht, ein Zertifikat über einen Certificate Enrollment Policy Web Service (CEP) von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
Der Vorgang schlägt mit folgender Fehlermeldung fehl:

Fehler: Die Serververbindung wurde aufgrund eines Fehlers beendet. 0x80072efe (WinHttp:12030) ERROR_WINHTTP_CONNECTION_ERROR

Die Beantragung eines Zertifikats über den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung "A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted."

Folgendes Szenario angenommen:

Man versucht, ein Zertifikat über einen Certificate Enrollment Policy Web Service (CEP) von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
Hierzu verwendet man die Microsoft Management Konsole (MMC), entweder für den angemeldeten Benutzer (certmgr.msc) oder für den Computer (certlm.msc).
Die Liste der verfügbaren Zertifikatvorlagen innerhalb der MMC ist jedoch komplett leer.
In der Liste der verfügbaren Zertifikatvorlagen innerhalb der MMC lässt man sich alle Zertifikatvorlagen anzeigen. Bei allen gewünschten Zertifikatvorlagen steht:

Cannot find Object or property.
A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted.

Die Beantragung eines Zertifikats über den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung "Error: Access was denied by the remote endpoint. 0x803d0005 -2143485947 WS_E_ENDPOINT_ACCESS_DENIED"

Folgendes Szenario angenommen:

Ein Benutzer beantragt ein Zertifikat.
Hierfür ist eine Enrollment Policy konfiguriert, welche auf einen Certificate Enrollment Policy Web Service (CEP) verweist.
Die Verbindung zum CEP schlägt fehl, und der Benutzer erhält folgende Fehlermeldung:

Error: Access was denied by the remote endpoint. 0x803d0005 -2143485947 WS_E_ENDPOINT_ACCESS_DENIED

Die Rollenkonfiguration für den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung "Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)"

Folgendes Szenarion angenommen:

Es wird eine Rollenkonfiguration für den Certificate Enrollment Policy Web Service (CEP) durchgeführt.
Die Rollenkonfiguration schlägt mit folgender Fehlermeldung fehl:

CCertificateEnrollmentPolicyServerSetup::InitializeInstallDefaults: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)

Die Rollenkonfiguration für den Certificate Enrollment Policy Web Service schlägt fehl mit Fehlermeldung "The argument is null or empty."

Folgendes Szenarion angenommen:

Es wird eine Rollenkonfiguration für den Certificate Enrollment Policy Web Service (CEP) mittels PowersShell (Install-AdcsEnrollmentPolicyWebService) durchgeführt.
Die Rollenkonfiguration schlägt mit folgender Fehlermeldung fehl:

Cannot validate argument on parameter 'SSLCertThumbprint'. The argument is null or empty. Provide an argument that is not null or empty, and then try the command again.

Installation eines Certificate Enrollment Policy Web Service (CEP)

Nachfolgend wird beschrieben, wie der Certificate Enrollment Policy Web Service (CEP) installiert werden kann.

Den Certificate Enrollment Policy Web Service (CEP) für den Betrieb mit einem Domänenkonto konfigurieren

Nachfolgend wird beschrieben, wie man einen Certificate Enrollment Policy Web Service (CEP) einrichtet, dass der Dienst unter einem Domänenkonto läuft.

Den Certificate Enrollment Policy Web Service (CEP) für den Betrieb mit einem Group Managed Service Account (gMSA) konfigurieren

Aus Sicherheitsgründen kann es sinnvoll sein, den CEP statt mit einem normalen Domänenkonto lieber mit einem Group Managed Service Account (gMSA) zu betreiben. Diese Option bietet den charmanten Vorteil, dass das Passwort des Kontos automatisch geändert wird, und dieser Schritt somit nicht von Hand vorgenommen werden muss, was leider viel zu oft vergessen wird.

Den Zwischenspeicher für Zertifikatregistrierungsrichtlinien (Enrollment Policy Cache) für den Certificate Enrollment Policy Web Service (CEP) einsehen und löschen

Nachdem eine Zertifikatregistrierungsrichtlinie (Enrollment Policy) konfiguriert und von einem Teilnehmer verwendet wurde, werden die Ergebnisse lokal zwischengespeichert (Enrollment Policy Cache).

Nimmt man nun Veränderungen an der Infrastruktur vor, beispielsweise indem man eine neue Zertifikatvorlage auf einer per Certificate Enrollment Web Service (CES) erreichbaren Zertifizierungsstelle veröffentlicht oder entfernt, werden diese Änderungen aufgrund des Zwischenspeichers nicht sofort für die Teilnehmer sichbar.

Aus diesem Grund kann es unter Umständen hilfreich sein, den Zwischenspeicher einzusehen oder zu löschen.

Die Erstellung einer Zertifikatregistrierungsrichtlinie (Enrollment Policy) für den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit der Fehlermeldung "This ID conflicts with an existing ID.”

Folgendes Szenario angenommen:

Es ist ein Certificate Enrollment Policy Web Service (CEP) im Netzwerk implementiert.
Es wird eine Enrollment Policy konfiguriert.
Das Testen der Verbindung schlägt mit folgender Fehlermeldung fehl:

The URI entered above has ID: "{{GUID}}". This ID conflicts with an existing ID.