Liste der Use Cases für Zertifikate, die bestimmte Cryptographic Service Provider (CSP) oder Key Storage Provider (KSP) benötigen

Mit Windows Server 2008 wurde zusammen mit den NSA Suite B Algorithmen (auch als Cryptography Next Generation, CNG bekannt) mit den Key Storage Providern eine neue, moderne Schnittstelle für die Erzeugung, Speicherung und Verwendung von privaten Schlüsseln im Windows-Ökosystem eingeführt.

In den meisten Fällen spielt es keine Rolle, welche CSP oder KSP für Zertifikate verwendet wird. Einige Anwendungen werden allerdings nicht oder nicht korrekt funktionieren, wenn der falsche Provider gewählt wurde.

Nachfolgend eine Liste mir bekannter Anwendungsfälle für Zertifikate, die nur mit einem bestimmten Cryptographic Service Provider (CSP) oder Key Storage Provider (KSP) zusammenarbeiten.

„Liste der Use Cases für Zertifikate, die bestimmte Cryptographic Service Provider (CSP) oder Key Storage Provider (KSP) benötigen“ weiterlesen

SSCEP: Subject of our request does not match that of the returned Certificate!

Folgendes Szenario angenommen:

sscep: Subject of our request does not match that of the returned Certificate!
„SSCEP: Subject of our request does not match that of the returned Certificate!“ weiterlesen

SSCEP für Linux (Debian Buster) installieren und Zertifikate über den Registrierungsdienst für Netzwerkgeräte (NDES) beantragen

Möchte man eine große Menge an Systemen mit Zertifikaten ausrüsten, ist eine manuelle Beantragung und Erneuerung der Zertifikate keine Option. Der einzige gangbare Weg ist Automatisierung.

Für Systeme, die nicht Mitglied der Active Directory Gesamtstruktur sind, ist eine automatische Zertifikatbeantragung über RPC/DCOM keine Option.

Für bestimmte Anwendungsfälle ist das Simple Certificate Enrollment Protocol (SCEP) eine interessante Alternative. Für dieses Protokoll gibt es nicht nur Clients für Windows, sondern mit SSCEP auch für Linux. SSCEP wird unter Anderem von Thin Clients mit dem eLux Betriebssystem verwendet.

Nachfolgend wird beschrieben, wie der SSCEP Client auf einem Debian Buster Linux System eingerichtet wird – entweder, um damit Server zu verwalten, oder das clientseitige Verhalten testen zu können.

„SSCEP für Linux (Debian Buster) installieren und Zertifikate über den Registrierungsdienst für Netzwerkgeräte (NDES) beantragen“ weiterlesen

Regelmäßige Passwortänderung bei Konfiguration des Registrierungsdienstes für Netzwerkgeräte (NDES) mit einem statischen Passwort

Angenommen, man betreibt einen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES), welcher darauf konfiguriert ist, ein statisches Passwort zu verwenden. In diesem Fall ändert sich, im Gegensatz zur Standardkonfiguration, das Passwort für die Zertifikatbeantragung durch NDES-Clients niemals.

Vielleicht strebt man aber einen Zwischenweg an, beispielsweise eine tägliche Änderung des Passworts. Nachfolgend wird ein Weg beschrieben, wie die Änderung des Passworts automatisiert werden kann.

„Regelmäßige Passwortänderung bei Konfiguration des Registrierungsdienstes für Netzwerkgeräte (NDES) mit einem statischen Passwort“ weiterlesen

Zertifikatbeantragung für Windows-Systeme über den Registrierungsdienst für Netzwerkgeräte (NDES) mit Windows PowerShell

Möchte man Windows-Systeme mit Zertifikaten ausrüsten, welche nicht die Möglichkeit haben, direkt mit einer Active Directory integrierten Zertifizierungsstelle zu kommunizieren, oder die sich gar überhaupt nicht in der gleichen Active Directory Gesamtstruktur befinden, bleibt in den meisten Fällen nur die manuelle Installation von Zertifikaten.

Seit Windows 8.1 / Windows Server 2012 R2 befindet sich jedoch ein integrierter Client für das Simple Certificate Enrollment Protocoll (SCEP) an Bord. Serverseitig wird SCEP über den Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) in der Microsoft-PKI seit Windows Server 2003 implementiert.

Eine besonders interessante Eigenschaft von SCEP ist, dass das Protokoll eine Erneuerung eines Zertifikats unter Angabe eines bereits vorhandenen erlaubt. Was läge also näher, als diese Schnittstelle zu verwenden? Was noch fehlt, ist eine entsprechende Automatisierung über die Windows PowerShell.

„Zertifikatbeantragung für Windows-Systeme über den Registrierungsdienst für Netzwerkgeräte (NDES) mit Windows PowerShell“ weiterlesen

Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)

Das Simple Certificate Enrollment Protocol (SCEP) wurde in den frühen 2000er Jahren von Verisign für Cisco entwickelt, um eine vereinfachte Methode zum Beantragen von Zertifikaten verwenden zu können. Zuvor musste für Netzwerkgeräte manuell eine Zertifikatanforderung auf jedem Gerät erzeugt, zu einer Zertifizierungsstelle übermittelt und anschließend das ausgestellte Zertifikat wieder manuell auf dem entsprechenden Gerät installiert werden.

„Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)“ weiterlesen

Authentifizierung am Registrierungsdienst für Netzwerkgeräte (NDES) mit einem existierenden Zertifikat (Renewal-Modus)

Der Registrierungsdienst für Netzwerkgeräte (NDES) verfügt über die Möglichkeit, sich mit einem bereits ausgestellten Zertifikat zu authentifizieren, um ein inhaltlich gleiches Zertifikat erneut zu beantragen. Dies ist sehr praktisch für Erneuerungs-Operationen, da somit der Bedarf entfällt, vorher ein One-Time Passwort zu beantragen.

„Authentifizierung am Registrierungsdienst für Netzwerkgeräte (NDES) mit einem existierenden Zertifikat (Renewal-Modus)“ weiterlesen

Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung "Failed to Enroll RA certificates. The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)"

Folgendes Szenario angenommen:

  • Man installiert einen Network Device Enrollment Service (NDES) Server
  • Man verfügt über die erforderlichen Berechtigungen zur Installation der Rolle (lokaler Administrator, Enterprise Administrator)
  • Die Rollenkonfiguration schlägt mit folgender Fehlermeldung fehl:
Failed to Enroll RA certificates. The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)
„Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung "Failed to Enroll RA certificates. The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)"“ weiterlesen

Gibt es eine Abhängigkeit des Registrierungsdienstes für Netzwerkgeräte (NDES) mit dem NTAuthCertificates Objekt?

Der Registrierungsdienst für Netzwerkgeräte (NDES) verfügt über zwei Registration Authority Zertifikate. Mit dem Enrollment-Agenten-Zertifikat werden Zertifikatanforderungen signiert und man kann die NDES-Gerätevorlage entsprechend konfigurieren, sodass Zertifikate auch nur dann ausgestellt werden, wenn die eingereichten Zertifikatanforderungen auch eine entsprechende Signatur aufweisen.

Plant man, die mit dem NDES verbundene Zertifizierungsstelle aus dem NTAuthCertificates Objekt zu entfernen, kommt eventuell die Frage auf, ob hier wechselseitige Abhängigkeiten zu berücksichtigen sind – schließlich erfordert Enroll on Behalf Of (EOBO) das Vorhandensein des Zertifizierungsstellen-Zertifikats in NTAuthCertificates.

„Gibt es eine Abhängigkeit des Registrierungsdienstes für Netzwerkgeräte (NDES) mit dem NTAuthCertificates Objekt?“ weiterlesen

Details zum Ereignis mit ID 52 der Quelle Microsoft-Windows-NetworkDeviceEnrollmentService

Ereignisquelle:Microsoft-Windows-NetworkDeviceEnrollmentService
Ereignis-ID:52 (0x34)
Ereignisprotokoll:Application
Ereignistyp:Information
Ereignistext (englisch):The Network Device Enrollment Service policy module was started successfully.
Ereignistext (deutsch):Das Richtlinienmodul "Registrierungsdienst für Netzwerkgeräte" wurde erfolgreich gestartet.
„Details zum Ereignis mit ID 52 der Quelle Microsoft-Windows-NetworkDeviceEnrollmentService“ weiterlesen

Details zum Ereignis mit ID 53 der Quelle Microsoft-Windows-NetworkDeviceEnrollmentService

Ereignisquelle:Microsoft-Windows-NetworkDeviceEnrollmentService
Ereignis-ID:53 (0x35)
Ereignisprotokoll:Application
Ereignistyp:Fehler
Ereignistext (englisch):The Network Device Enrollment Service policy module could not be started (%1). %2
Ereignistext (deutsch):Das Richtlinienmodul "Registrierungsdienst für Netzwerkgeräte" konnte nicht gestartet werden (%1). %2
„Details zum Ereignis mit ID 53 der Quelle Microsoft-Windows-NetworkDeviceEnrollmentService“ weiterlesen

Details zum Ereignis mit ID 54 der Quelle Microsoft-Windows-NetworkDeviceEnrollmentService

Ereignisquelle:Microsoft-Windows-NetworkDeviceEnrollmentService
Ereignis-ID:54 (0x36)
Ereignisprotokoll:Application
Ereignistyp:Information
Ereignistext (englisch):The Network Device Enrollment Service policy module was stopped successfully.
Ereignistext (deutsch):Das Richtlinienmodul "Registrierungsdienst für Netzwerkgeräte" wurde erfolgreich beendet.
„Details zum Ereignis mit ID 54 der Quelle Microsoft-Windows-NetworkDeviceEnrollmentService“ weiterlesen

Details zum Ereignis mit ID 55 der Quelle Microsoft-Windows-NetworkDeviceEnrollmentService

Ereignisquelle:Microsoft-Windows-NetworkDeviceEnrollmentService
Ereignis-ID:55 (0x37)
Ereignisprotokoll:Application
Ereignistyp:Fehler
Ereignistext (englisch):The Network Device Enrollment Service policy module could not be stopped (%1). %2
Ereignistext (deutsch):Das Richtlinienmodul "Registrierungsdienst für Netzwerkgeräte" konnte nicht beendet werden (%1). %2
„Details zum Ereignis mit ID 55 der Quelle Microsoft-Windows-NetworkDeviceEnrollmentService“ weiterlesen

Details zum Ereignis mit ID 43 der Quelle Microsoft-Windows-NetworkDeviceEnrollmentService

Ereignisquelle:Microsoft-Windows-NetworkDeviceEnrollmentService
Ereignis-ID:43 (0x2B)
Ereignisprotokoll:Application
Ereignistyp:Fehler
Symbolischer Name:EVENT_MSCEP_INVALID_USAGE_FOR_PASSWORD
Ereignistext (englisch):This password has already been used to request a (%1) certificate. Only one signing certificate and one exchange certificate can be issued per password. Obtain a new password to use with this request, or create a new request with a different key usage and the same password, then try again.
Ereignistext (deutsch):Dieses Kennwort wurde bereits zum Anfordern eines (%1) Zertifikats verwendet. Pro Kennwort kann nur ein Signaturzertifikat und ein Austauschzertifikat ausgestellt werden. Legen Sie ein neues Kennwort für diese Anforderung fest, oder erstellen Sie eine neue Anforderung mit einer anderen Schlüsselverwendung und dem gleichen Kennwort. Wiederholen Sie dann den Vorgang.
„Details zum Ereignis mit ID 43 der Quelle Microsoft-Windows-NetworkDeviceEnrollmentService“ weiterlesen

Details zum Ereignis mit ID 44 der Quelle Microsoft-Windows-NetworkDeviceEnrollmentService

Ereignisquelle:Microsoft-Windows-NetworkDeviceEnrollmentService
Ereignis-ID:44 (0x2C)
Ereignisprotokoll:Application
Ereignistyp:Fehler
Symbolischer Name:EVENT_MSCEP_GETCRL_FAILED
Ereignistext (englisch):The Network Device Enrollment Service cannot obtain the certificate revocation list (CRL) for key %1 from the certification authority. Verify that the CA service is running, the Network Device Enrollment Service account has Read permission on the CA service, and the CA service has successfully created the latest CRL. Use the Certification Authority management console to verify the permissions on the CA service. Use the command: Certutil -config "%2" -cainfo crl %3 to verify that the CA service has created the latest CRL. The error returned was (%4). %5
Ereignistext (deutsch):Vom Registrierungsdienst für Netzwerkgeräte kann die Zertifikatssperrliste für den Schlüssel %1 nicht von der Zertifizierungsstelle abgerufen werden. Stellen Sie sicher, dass der Zertifizierungsstellendienst ausgeführt wird, dass das Konto des Registrierungsdiensts für Netzwerkgeräte eine Leseberechtigung für den Zertifizierungsstellendienst besitzt und dass der Zertifizierungsstellendienst die letzte Zertifikatssperrliste erfolgreich erstellt hat. Verwenden Sie die Zertifizierungsstellen-Verwaltungskonsole, um die Berechtigungen für den Zertifizierungsstellendienst zu überprüfen. Verwenden Sie den Befehl "Certutil -config "%2″ -cainfo crl %3", um sicherzustellen, dass der Zertifizierungsstellendienst die letzte Zertifikatssperrliste erstellt hat. Zurückgegebener Fehler: (%4). %5
„Details zum Ereignis mit ID 44 der Quelle Microsoft-Windows-NetworkDeviceEnrollmentService“ weiterlesen
de_DEDeutsch