Zertifikat-Benutzung – Seite 17 – Uwe Gradenegger

Welchen Einfluss haben fehlerhafte Sperrinformationen eines Zertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle?

Nachfolgend werden die Auswirkungen auf den Zertifizierungsstellen-Betrieb beschrieben, wenn die Sperrinformationen für eines der Zertifizierungsstellen-Zertifikate der Zertifizierungsstelle nicht abgerufen werden können.

Dieser Fall kann auch planmäßig eintreten, beispielsweise, wenn eine frühere Zertifizierungsstellen-Hierarchie außer Betrieb genommen werden soll.

Welchen Einfluss hat der Entzug des Vertrauensstatus eines Stammzertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle?

Nachfolgend werden die Auswirkungen auf den Zertifizierungsstellen-Betrieb beschrieben, wenn einem der Stammzertifizierungsstellen-Zertifikaten, von welchen eines der Zertifizierungsstellen-Zertifikate abstammt, der Vertrauensstatus entzogen wird, oder dieser nie bestand.

Dieser Fall kann auch planmäßig eintreten, beispielsweise, wenn eine frühere Zertifizierungsstellen-Hierarchie außer Betrieb genommen werden soll.

Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING)"

Folgendes Szenario angenommen:

Es ist eine Zertifizierungsstelle im Netzwerk implementiert.
Der Zertifizierungsstellen-Dienst startet nicht.
Beim Versuch, den Zertifizierungsstellen-Dienst zu starten, erhält man folgende Fehlermeldung:

A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING)

Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "The certificate request could not be submitted to the certification authority. Error: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)"

Folgendes Szenario angenommen:

Ein Benutzer beantragt ein Zertifikat von einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority)
Die Beantragung des Zertifikats schlägt mit folgender Fehlermeldung fehl:

The certificate request could not be submitted to the certification authority. Error: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)

Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "Cannot archive private key. The certification authority could not verify one or more key recovery certificates. 0x8009400b (-2146877429 CERTSRV_E_NO_VALID_KRA)"

Folgendes Szenario angenommen:

Ein Benutzer beantragt ein Zertifikat von einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority).
Die Zertifikatvorlage ist für die Archivierung privater Schlüssel eingerichtet.
Die Beantragung des Zertifikats schlägt mit folgender Fehlermeldung fehl:

Cannot archive private key. The certification authority could not verify one or more key recovery certificates. 0x8009400b (-2146877429 CERTSRV_E_NO_VALID_KRA)

Beschreibung der notwendigen Konfigurationseinstellungen für das "Common PKI" Zertifikatprofil

Nachfolgend eine Beschreibung, welche Konfigurationseinstellungen notwendig sind, damit eine auf den Active Directory Certificate Services basierende Zertifikathierarchie konform zum "Common PKI" Standard ist.

Secure Sockets Layer (SSL) für die Zertifizierungsstellen-Webregistrierung (CAWE) aktivieren

In der Standardkonfiguration nimmt die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment CAWE) nur unverschlüsselte Verbindungen via HTTP an. Es ist angeraten, dass die CAWE für HTTP über TLS (HTTPS) konfiguriert wird, um Mitschnitte des Netzwerkverkehrs zu erschweren. Nachfolgend eine Anleitung.

Verwenden von Authentication Mechanism Assurance (AMA) für die Absicherung der Anmeldung administrativer Konten

Bei der Authentication Mechanism Assurance (AMA) handelt es sich um eine Funktion, welche sicherstellen soll, dass ein Benutzer nur dann Mitglied einer Sicherheitsgruppe ist, wenn er sich nachweislich mit einer starken Authentifizierunsmethode (also einer Smartcard) angemeldet hat. Meldet sich der Benutzer stattdessen via Benutzername und Kennwort an, hat er keinen Zugriff auf die angeforderten Ressourcen.

Ursprünglich für den Zugriff auf Dateiserver gedacht, kann man die AMA (mit einigen Einschränkungen) jedoch auch für die administrative Anmeldung verwenden. Somit wäre es beispielsweise denkbar, dass ein Benutzer unprivilegiert ist, wenn er sich mit Benutzername und Passwort anmeldet, und über administrative Rechte verfügt, wenn er sich mit einem Zertifikat anmeldet.

Die Anmeldung via Smartcard schlägt fehl mit Fehlermeldung "Signing in with a security device isn’t supported for your account."

Folgendes Szenario angenommen:

Ein Benutzer verfügt über ein Smartcard Logon Zertifikat und meldet sich mit diesem an der Active Directory Domäne an.
Die Anmeldung schlägt fehl. Folgende Fehlermeldung wird dem Benutzer an seinem Computer zurückgegeben:

Signing in with a security device isn't supported for your account. For more info, contact your administrator.

Löschen einer manuell konfigurierten Zertifikatbeantragungs-Richtlinie (Enrollment Policy)

Arbeitet man mit den Certificate Enrollment Web Services und trägt man Zertifikatregistrierungsrichtlinien (Enrollment Policies) manuell auf Clientcomputern ein, stößt man auf das Phänomen, dass es keine Möglichkeit in der Zertifikate-Managementkonsole gibt, um diese zu bearbeiten oder zu löschen.

Grundlagen manuelle und automatische Zertifikatbeantragung über Lightweight Directory Access Protocol (LDAP) und Remote Procedure Call / Distributed Common Object Model (RPC/DCOM) mit dem MS-WCCE Protokoll

Nachfolgend wird der Prozess beschrieben, der im Hintergrund bei der manuellen oder automatischen Beantragung von Zertifikaten abläuft, um einen möglichst hohen Automatisierungsgrad zu erreichen.

Manuelles Ausführen des Autoenrollment Prozesses

In der Standardeinstellung replizieren alle Domänenmitglieder durch den Autoenrollment Prozess automatisch das Public Key Services Objekt er Active Directory Gesamtstruktur. Die Auslöser hierfür sind:

Bei Anmeldung des Benutzers (bei Computern, wenn sich das Computerkonto anmeldet, also beim Systemstart)
Per Timer alle 8 Stunden.
Bei einer Aktualisierung der Gruppenrichtlinien, vorausgesetzt, es gab eine Änderung.

Möchte man nicht darauf warten, bis der Autoenrollment automatisch angestoßen wird, kann man ihn auch manuell starten. Die verschiedenen Wege, den Autoenrollment Prozess auszuführen, werden nachfolgend beschrieben.

Eine universelle Sicherheitsgruppe mit einem Object Identifier (OID) im Active Directory Verzeichnisdienst verbinden (Authentication Mechanism Assurance)

Die Authentication Mechanism Assurance (AMA) bietet die Möglichkeit, die Mitgliedschaft in einer Sicherheitsgruppe an die Anmeldung mit einem Smartcard Zertifikat, welches einen bestimmten Object Identifier (OID) enthält, zu binden.

Meldet sich der Benutzer nicht mit dem Smartcard Zertifikat, sondern mit Benutzername und Passwort an, ist er auch nicht Mitglied der Sicherheitsgruppe.

Nachfolgend wird beschrieben, wie man die Verbindung zwischen dem Zertifikat und der Sicherheitsgruppe herstellt.

Konfigurieren einer Secure Socket Layer (SSL) Zertifikatvorlage für Web Server

Nachfolgend eine Anleitung für die Konfiguration einer Webserver-Vorlage mit empfohlenen Einstellungen.

Erlaubte Relative Distinguished Names (RDNs) im Subject Distinguished Name (DN) ausgestellter Zertifikate

Grundsätzlich erlaubt das RFC 5280 die Verwendung beliebiger Zeichenketten im Subject Distinguished Name (DN) eines Zertifikats. Gängige Felder sind im Standard X.520 beschrieben. Die Längenbeschränkungen werden ebenfalls von der ITU-T empfohlen. Die heute gängigen Abkürzungen entstammen überwiegend dem RFC 4519.

Die Microsoft Active Directory Certificate Services erlauben in der Standardeinstellung jedoch nur bestimmte RDNs.

Folgende Relative Distinguished Names (RDNs) werden in der Standardeinstellung von der Active Directory Certificate Services (ADCS) Zertifizierungsstelle angenommen:

Deutsch