| Ereignisquelle: | Microsoft-Windows-CertificationAuthority |
| Ereignis-ID: | 7 (0x7) |
| Ereignisprotokoll: | Application |
| Ereignistyp: | Warnung |
| Symbolischer Name: | MSG_DN_CERT_DENIED |
| Ereignistext (englisch): | Active Directory Certificate Services denied request %1 because %2. The request was for %3. |
| Ereignistext (deutsch): | Die Anforderung %1 wurde abgelehnt, da %2. Die Anforderung war für %3. |
Kategorie: Zertifizierungsstelle
Details zum Ereignis mit ID 8 der Quelle Microsoft-Windows-CertificationAuthority
| Ereignisquelle: | Microsoft-Windows-CertificationAuthority |
| Ereignis-ID: | 8 (0x8) |
| Ereignisprotokoll: | Application |
| Ereignistyp: | Information |
| Ereignistext (englisch): | Active Directory Certificate Services left request %1 pending in the queue for %2. |
| Ereignistext (deutsch): | Die Anforderung %1 von %2 wurde in die Warteschlange gestellt. |
Details zum Ereignis mit ID 5 der Quelle Microsoft-Windows-CertificationAuthority
| Ereignisquelle: | Microsoft-Windows-CertificationAuthority |
| Ereignis-ID: | 5 (0x5) |
| Ereignisprotokoll: | Application |
| Ereignistyp: | Fehler |
| Symbolischer Name: | MSG_BAD_REGISTRY |
| Ereignistext (englisch): | Active Directory Certificate Services could not find required registry information. The Active Directory Certificate Services may need to be reinstalled. |
| Ereignistext (deutsch): | Die erforderlichen Registrierungsinformationen konnten nicht gefunden werden. Die Active Directory-Zertifikatdienste müssen möglicherweise neu installiert werden. |
Den Signaturalgorithmus einer Zertifizierungsstellen-Hierarchie ändern, ohne neue Zertifizierungsstellen-Zertifikate auszustellen
Mitunter kann es erforderlich sein, den Signaturalgorithmus einer bereits installierten Zertifizierungsstellen-Hierarchie nachträglich zu ändern.
Häufig ist dies der Fall, weil man diese mit PKCS#1 Version 2.1 installiert hat und im Nachgang leider feststellen muss, dass nicht alle Anwendungen zu den daraus entstehenden Zertifikaten kompatibel sind, und die Hierarchie somit nicht verwenden können.
Ist es noch relativ einfach, den Signaturalgorithmus für die von einer Zertifizierungsstelle ausgestellten Zertifikate nachträglich zu ändern, wird es bei den Zertifizierungsstellen-Zertifikaten schon schwieriger.
„Den Signaturalgorithmus einer Zertifizierungsstellen-Hierarchie ändern, ohne neue Zertifizierungsstellen-Zertifikate auszustellen“ weiterlesenDer Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)"
Folgendes Szenario angenommen:
- Es ist eine Zertifizierungsstelle im Netzwerk implementiert.
- Der Zertifizierungsstellen-Dienst startet nicht.
- Beim Versuch, den Zertifizierungsstellen-Dienst zu starten, erhält man folgende Fehlermeldung:
The parameter is incorrect. 0x57 (WIN32: 87 ERROR_INVALID_PARAMETER)„Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)"“ weiterlesen
PKCS#1 Version 2.1 für ausgestellte Zertifikate und Sperrlisten einer Zertifizierungsstelle konfigurieren
Mitunter kann es erforderlich sein, den Signaturalgorithmus einer bereits installierten Zertifizierungsstelle nachträglich zu ändern.
„PKCS#1 Version 2.1 für ausgestellte Zertifikate und Sperrlisten einer Zertifizierungsstelle konfigurieren“ weiterlesenPKCS#1 Version 2.1 für eine Stammzertifizierungsstelle (Root CA) einsetzen (eigenes und ausgestellte Zertifikate)
Vor der Installation einer eigenständigen Stammzertifizierungsstelle (Standalone Root CA) kommt die Frage auf, welche kryptographischen Algorithmen eingesetzt werden sollen.
„PKCS#1 Version 2.1 für eine Stammzertifizierungsstelle (Root CA) einsetzen (eigenes und ausgestellte Zertifikate)“ weiterlesenGrundlagen: Schlüsselalgorithmen, Signaturalgorithmen und Signaturhashalgorithmen
Bei der Planung einer Public Key Infrastruktur kommt die Frage auf, welche kryptographischen Algorithmen diese verwenden sollte.
Die wichtigsten Grundlagen werden nachfolgend erläutert.
„Grundlagen: Schlüsselalgorithmen, Signaturalgorithmen und Signaturhashalgorithmen“ weiterlesenSmartcard Anmeldung im Netzwerk unterbinden
Installiert man die Active Directory Zertifikatdienste in der Standard-Konfiguration, wird die Umgebung automatisch dafür konfiguriert, dass Smartcard-Anmeldungen von den Domänencontrollern akzeptiert werden.
Wenn die Verwendung von Smartcard Anmeldungen nicht gewünscht ist, ist es daher sinnvoll, die Funktionalität abzustellen, um im Falle der Kompromittierung der Zertifizierungsstelle das Active Directory nicht zu gefährden.
„Smartcard Anmeldung im Netzwerk unterbinden“ weiterlesenDeaktivieren der Erzeugung der Kreuzzertifizierungsstellen-Zertifikate auf einer Stammzertifizierungsstelle
Stammzertifizierungsstellen (Root CA) erzeugen bei Erneuerung des Zertifizierungsstellen-Zertifikats sogenannte Kreuzzertifizierungsstellen-Zertifikate (Cross Signing).
Mitunter kann es sein, dass hierbei Probleme auftreten, wie beispielsweise im Artikel "Die Beantragung eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung "The certification authority’s certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)"" beschrieben.
In einem solchen Fall möchte man vielleicht die Erstellung der Kreuzzertifizierungsstellen-Zertifikate unterbinden.
„Deaktivieren der Erzeugung der Kreuzzertifizierungsstellen-Zertifikate auf einer Stammzertifizierungsstelle“ weiterlesenUmlaute in Zertifizierungsstellen-Zertifikaten
Internationalisierte Domänennamen (Internationalized Domain Names, IDNs) werden seit Windows Server 2012 im Rahmen der Zertifizierungsstelle und den dazugehörigen Komponenten offiziell unterstützt.
Möchte man diese in seine Zertifizierungsstellen-Zertifikaten benutzen, gibt es jedoch einige Besonderheiten zu beachten.
„Umlaute in Zertifizierungsstellen-Zertifikaten“ weiterlesenWie sind die Kompatibilitätseinstellungen für Zertifikatvorlagen technisch abgebildet?
Seit den Verwaltungstools für die Zertifikatdienste in Windows Server 2012 kann man beim Konfigurieren einer Zertifikatvorlage die gewünschte Kompatibilität für die Zertifizierungsstelle und Zertifikatempfänger auswählen.
Nachfolgend wird diese Funktion näher beschrieben, sowie auf mögliche Auswirkungen in der Praxis eingegangen.
„Wie sind die Kompatibilitätseinstellungen für Zertifikatvorlagen technisch abgebildet?“ weiterlesenÜbersicht über die Verfügbarkeit von Optionen bei Veränderung der Kompatibilitätseinstellungen einer Zertifikatvorlage
Seit den Verwaltungstools für die Zertifikatdienste in Windows Server 2012 kann man beim Konfigurieren einer Zertifikatvorlage die gewünschte Kompatibilität für die Zertifizierungsstelle und Zertifikatempfänger auswählen.
Nachfolgend eine Übersicht, welche Optionen jeweils verfügbar werden, wenn die Kompatibilitätseinstellungen für die Zertifizierungsstelle und/oder die Zertifikatempfänger verändert werden.
„Übersicht über die Verfügbarkeit von Optionen bei Veränderung der Kompatibilitätseinstellungen einer Zertifikatvorlage“ weiterlesenIn-Place Upgrade einer Zertifizierungsstelle von Windows Server 2012 R2 oder 2016 zu Windows Server 2019
Spätestens im Rahmen des Endes der Produkt-Unterstützung durch den Hersteller (Microsoft) stellt sich die Frage, ob man die Zertifizierungsstelle durch Migration auf einen anderen Server auf ein aktuelles Betriebssystem bringt, oder ein In-Place Upgrade vornimmt. Anbei wird letzterer Vorgang beschrieben.
In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2012 SP2 oder 2012 R2 zu Windows Server 2016
Spätestens im Rahmen des Endes der Produkt-Unterstützung durch den Hersteller (Microsoft) stellt sich die Frage, ob man die Zertifizierungsstelle durch Migration auf einen anderen Server auf ein aktuelles Betriebssystem bringt, oder ein In-Place Upgrade vornimmt. Anbei wird letzterer Vorgang beschrieben.
Deutsch 
English