Nachfolgend wird beschrieben, welche Optionen es für die Ausführung von PowerShell Skriptdateien gibt, und welche Möglichkeiten sich durch das Signieren dieser ergibt.
„Codesignatur für PowerShell Scriptdateien“ weiterlesenKategorie: Zertifikat-Benutzung
Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "The request is not supported. 0x80070032 (WIN32: 50 ERROR_NOT_SUPPORTED)"
Folgendes Szenario angenommen:
- Es wird ein Zertifikat von einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) beantragt.
- Die Beantragung schlägt mit folgender Fehlermeldung fehl:
An error occurred while enrolling for a certificate. The certificate request could not be submitted to the certification authority. Url: CA02.intra.adcslabor.de\ADCS Labor Issuing CA 1 Error: The request is not supported. 0x80070032 (WIN32: 50 ERROR_NOT_SUPPORTED)„Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "The request is not supported. 0x80070032 (WIN32: 50 ERROR_NOT_SUPPORTED)"“ weiterlesen
Automatische Erneuerung manuell beantragter Zertifikate ohne Eingriff eines Zertifikatmanagers
Angenommen, man setzt einen Use Case für Zertifikate ein, bei denen die Benutzer die im Zertifikat enthaltene Identität in der Zertifikatanforderung angeben, und hierdurch ein manuelles Eingreifen der Zertifikatmanager erfolgen muss, stellt sich die Frage, wie bei Ablauf der Zertifikate oder Umzug der Zertifikatvorlage auf eine andere Zertifizierungsstelle vorgegangen werden kann, um Tickets beim Helpdesk und damit die entstehende Arbeit für die Zertifikatmanager auf ein Minimum reduzieren zu können.
„Automatische Erneuerung manuell beantragter Zertifikate ohne Eingriff eines Zertifikatmanagers“ weiterlesenMicrosoft Outlook: Mit S/MIME verschlüsselte E-Mails können nicht geöffnet werden. Es erscheint die Fehlermeldung "Interner Fehler."
Folgendes Szenario angenommen:
- Ein Benutzer erhält eine mit Secure/Multipurpose Internet Mail Extensions (S/MIME) verschlüsselte E-Mail Nachricht.
- Die Nachricht kann nicht geöffnet werden.
- Beim Öffnen der Nachricht wird folgende Fehlermeldung angezeigt:
Leider besteht ein Problem beim Öffnen dieses Elements. Dies kann vorübergehend sein. Wenn dieser Fehler erneut auftritt, sollten Sie Outlook neu starten. Fehler im zugrunde liegenden Sicherheitssystem. Interner Fehler.„Microsoft Outlook: Mit S/MIME verschlüsselte E-Mails können nicht geöffnet werden. Es erscheint die Fehlermeldung "Interner Fehler."“ weiterlesen
S/MIME mit der Outlook App für Apple IOS und Android nur mit über Intune verwalteten Geräten möglich
Möchte man S/MIME Zertifikate seinen Benutzern auch auf dem Smartphone zur Verfügung stellen, wird man vielleicht mit Erstaunen feststellen, dass dies nicht mit der Outlook App möglich ist, wenn man nicht auch Microsoft Intune als Verwaltungslösung für die Geräte einsetzt.
Microsoft hat in einem Artikel "Sensitivity labeling and protection in Outlook for iOS and Android" nun klargestellt, dass dies auf die jeweilige Systemarchitektur zurückzuführen ist.
„S/MIME mit der Outlook App für Apple IOS und Android nur mit über Intune verwalteten Geräten möglich“ weiterlesenWas bedeutet die Option "Enable Certificate Privacy" beim Zertifikatexport?
Mit Windows Server 2016 und Windows 10 wurde für den Export von Zertifikaten mit privatem Schlüssel über die Microsoft Management Console (MMC) eine neue Option "Enable Certificate Privacy" implementiert.
Beim Export von Zertifikaten mit privatem Schlüssel wird das Zertifikat in eine PKCS#12 (.PFX) Datei exportiert.
„Was bedeutet die Option "Enable Certificate Privacy" beim Zertifikatexport?“ weiterlesenGoogle Chrome meldet Fehlercode "ERR_SSL_PROTOCOL_ERROR" beim Aufruf einer Webseite
Folgendes Szenario angenommen:
- Es wird eine Webseite mit Google Chrome aufgerufen.
- Der Verbindungsaufbau schlägt mit folgender Fehlermeldung fehl:
Diese Website kann keine sichere Verbindung bereitstellen test.intra.adcslabor.de hat eine ungültige Antwort gesendet. Versuchen Sie, die Windows-Netzwerkdiagnose auszuführen. ERR_SSL_PROTOCOL_ERROR„Google Chrome meldet Fehlercode "ERR_SSL_PROTOCOL_ERROR" beim Aufruf einer Webseite“ weiterlesen
Behandlung abgelaufener Zertifikate bei der Ausstellung von Zertifikatsperrlisten
Microsoft Active Directory Certificate Services entfernt in der Standardeinstellung die Seriennummern abgelaufener Zertifikate aus den ausgestellten Sperrlisten.
Hierbei gibt es allerdings einige Ausnahmen.
„Behandlung abgelaufener Zertifikate bei der Ausstellung von Zertifikatsperrlisten“ weiterlesenListe der Use Cases für Zertifikate, die bestimmte Cryptographic Service Provider (CSP) oder Key Storage Provider (KSP) benötigen
Mit Windows Server 2008 wurde zusammen mit den NSA Suite B Algorithmen (auch als Cryptography Next Generation, CNG bekannt) mit den Key Storage Providern eine neue, moderne Schnittstelle für die Erzeugung, Speicherung und Verwendung von privaten Schlüsseln im Windows-Ökosystem eingeführt.
In den meisten Fällen spielt es keine Rolle, welche CSP oder KSP für Zertifikate verwendet wird. Einige Anwendungen werden allerdings nicht oder nicht korrekt funktionieren, wenn der falsche Provider gewählt wurde.
Nachfolgend eine Liste mir bekannter Anwendungsfälle für Zertifikate, die nur mit einem bestimmten Cryptographic Service Provider (CSP) oder Key Storage Provider (KSP) zusammenarbeiten.
„Liste der Use Cases für Zertifikate, die bestimmte Cryptographic Service Provider (CSP) oder Key Storage Provider (KSP) benötigen“ weiterlesenTLS-Datenverkehr mit Wireshark inspizieren (HTTPS entschlüsseln)
Bei Fehlersuche kann es sehr hilfreich sein, verschlüsselte SSL Verbindungen einzusehen, um die darin liegenden Nachrichten inspizieren zu können. Es gibt einen relativ einfachen Weg, dies mit Wireshark zu realisieren.
„TLS-Datenverkehr mit Wireshark inspizieren (HTTPS entschlüsseln)“ weiterlesenHTTP Fehlercode 403 bei Anmeldung mittels Client-Zertifikat an Internet Information Services (IIS) nach Erneuerung des Webserver-Zertifikats
Folgendes Szenario angenommen:
- Ein Benutzer oder eine Anwendung ruft eine auf einem Internet Information Services (IIS) Webserver betriebene Webseite oder Webanwendung auf.
- Der Webserver is so konfiguriert, dass für die aufgerufene Ressource ein Clientzertifikat angefordert wird.
- Obwohl auf dem Client ein gültiges Clientzertifikat vorliegt, wird umgehend der Fehlercode 403 Forbidden zurückgegeben. Der Anwender wird (bei Aufruf der Seite mit einem Browser) nicht zur Auswahl eines Zertifikats aufgefordert.
- Das Webserver-Zertifikat wurde jüngst erneuert und die IIS SSL-Bindung entsprechend über den IIS-Manager konfiguriert.
403 - Forbidden: Access is denied. You do not have permission to view this directory or page using the credentials that you supplied.„HTTP Fehlercode 403 bei Anmeldung mittels Client-Zertifikat an Internet Information Services (IIS) nach Erneuerung des Webserver-Zertifikats“ weiterlesen
Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "The request is missing required signature policy information. 0x80094809 (-2146875383 CERTSRV_E_SIGNATURE_POLICY_REQUIRED)"
Folgendes Szenario angenommen:
- Ein Benutzer sendet eine Zertifikatanforderung an eine Zertifizierungsstelle.
- Die Beantragung des Zertifikats schlägt mit folgender Fehlermeldung fehl:
The request is missing required signature policy information. 0x80094809 (-2146875383 CERTSRV_E_SIGNATURE_POLICY_REQUIRED) Denied by Policy Module„Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "The request is missing required signature policy information. 0x80094809 (-2146875383 CERTSRV_E_SIGNATURE_POLICY_REQUIRED)"“ weiterlesen
Microsoft Outlook: Empfänger-Zertifikate bei S/MIME verschlüsselten Mails herausfinden
Zur Fehlersuche bei mittels Secure/Multipurpose Internet Mail Extensions (S/MIME) verschlüsselten E-Mail Nachrichten, kann der verschlüsselte Teil einer Nachricht exportiert werden. Siehe hierzu Artikel "Microsoft Outlook: Extrahieren einer verschlüsselten S/MIME Nachricht aus einer E-Mail".
Um herauszufinden, mit welchen Zertifikaten eine Nachricht verschlüsselt wurde, kann wie folgt vorgegangen werden…
„Microsoft Outlook: Empfänger-Zertifikate bei S/MIME verschlüsselten Mails herausfinden“ weiterlesenMicrosoft Outlook: Extrahieren einer verschlüsselten S/MIME Nachricht aus einer E-Mail
Der verschlüsselte Teil einer mit Secure/Multipurpose Internet Mail Extensions (S/MIME) verschlüsselten E-Mail Nachricht ist immer in einer Datei namens "smime.p7m" als Anlage der Mail enthalten.
Outlook zeigt diese Anlage nicht an, sie kann zu Analysezwecken allerdings mit dem kostenfrei von Microsoft bereitgestellten MFCMAPI aus der E-Mail extrahiert werden.
„Microsoft Outlook: Extrahieren einer verschlüsselten S/MIME Nachricht aus einer E-Mail“ weiterlesenDie Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)."
Folgendes Szenario angenommen:
- Es wird versucht, ein Zertifikat von einer ins Active Directory integrierten Zertifizierungsstelle (Enterprise CA) für einen Benutzer oder Computer zu beantragen.
- Die Beantragung des Zertifikats schlägt mit folgender Fehlermeldung fehl:
The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE).„Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)."“ weiterlesen
Deutsch 
English