Spätestens im Rahmen des Endes der Produkt-Unterstützung durch den Hersteller (Microsoft) stellt sich die Frage, ob man die Zertifizierungsstelle durch Migration auf einen anderen Server auf ein aktuelles Betriebssystem bringt, oder ein In-Place Upgrade vornimmt. Anbei wird letzterer Vorgang beschrieben.
Kategorie: Zertifizierungsstelle
In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 SP2 zu Windows Server 2012
Spätestens im Rahmen des Endes der Produkt-Unterstützung durch den Hersteller (Microsoft) stellt sich die Frage, ob man die Zertifizierungsstelle durch Migration auf einen anderen Server auf ein aktuelles Betriebssystem bringt, oder ein In-Place Upgrade vornimmt. Anbei wird letzterer Vorgang beschrieben.
In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 R2 zu Windows Server 2012 R2
Spätestens im Rahmen des Endes der Produkt-Unterstützung durch den Hersteller (Microsoft) stellt sich die Frage, ob man die Zertifizierungsstelle durch Migration auf einen anderen Server auf ein aktuelles Betriebssystem bringt, oder ein In-Place Upgrade vornimmt. Anbei wird letzterer Vorgang beschrieben.
Keine Remotedesktopverbindung mehr möglich nach In-Place Upgrade des Windows Server Betriebssystems
Folgendes Szenario angenommen:
- Es wird ein In-Place Upgrade des Betriebssystems der Zertifizierungsstelle durchgeführt.
- Nach dem Upgrade ich keine Anmeldung via Remotedesktop mehr möglich. Die Verbindung schlägt mit folgender Fehlermeldung fehl:
An authentication error has occurred. The function requested is not supported. Remote Computer: 192.168.1.149 This could be due to CredSSP encryption oracle remediation. For more information, see https://go.microsoft.com/fwlink/?linkid=866660
Zu deutsch:
Authentifizierungsfehler. Die angeforderte Funktion wird nicht unterstützt. Remotecomputer: 192.168.1.149 Ursache könnte eine CredSSP Encryption Oracle-Abwehr sein. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=866660„Keine Remotedesktopverbindung mehr möglich nach In-Place Upgrade des Windows Server Betriebssystems“ weiterlesen
Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)"
Folgendes Szenario angenommen
- Es wird eine Zertifikatanforderung an eine Zertifizierungsstelle gesendet.
- Die Beantragung des Zertifikats schlägt mit folgender Fehlermeldung fehl:
Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)„Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)"“ weiterlesen
Token für die CDP- und AIA- Konfiguration einer Zertifizierungsstelle
Nachfolgend eine Übersicht über die Tokens für die CDP- und AIA- Konfiguration einer Zertifizierungsstelle.
„Token für die CDP- und AIA- Konfiguration einer Zertifizierungsstelle“ weiterlesenÜbersicht über die von der Zertifizierungsstelle generierten Audit-Ereignisse
Nachfolgend eine Übersicht über die von der Zertifizierungsstelle erzeugten Audit-Ereignisse in der Windows-Ereignisanzeige.
Im Gegensatz zu betrieblichen Ereignissen, die oft unter dem Begriff "Monitoring" verstanden werden, handelt es sich bei der Auditierung für die Zertifizierungsstelle um die Konfiguration der Protokollierung von sicherheitsrelevanten Ereignissen.
„Übersicht über die von der Zertifizierungsstelle generierten Audit-Ereignisse“ weiterlesenÜbersicht über die von der Zertifizierungsstelle generierten Windows-Ereignisse
Nachfolgend eine Übersicht über die von der Zertifizierungsstelle erzeugten Ereignisse in der Windows-Ereignisanzeige.
„Übersicht über die von der Zertifizierungsstelle generierten Windows-Ereignisse“ weiterlesenWie wird die Seriennummer eines Zertifikats gebildet?
Nachfolgend eine Erklärung, wie die Seriennummern ausgestellter Zertifikate gebildet werden, und wie das Verhalten der Zertifizierungsstellen angepasst werden kann.
Konfigurieren der Zertifizierungsstelle auf einen statischen Port (RPC-Endpunkt)
In der Standardkonfiguration ist die Zertifikatbeantragungs-Schnittstelle der Zertifizierungsstelle darauf konfiguriert, dynamische Ports für die eingehenden RPC/DCOM Verbindungen auszuhandeln (näheres siehe Artikel "Benötigte Firewallregeln für Active Directory Certificate Services").
| Netzwerkprotokoll | Ziel-Port | Protokoll |
|---|---|---|
| TCP | 135 | RPC Endpoint Mapper |
| TCP | 49152-65535 | RPC dynamische Ports |
Diese Konfiguration ist nicht in jeder Unternehmens-Umgebung realisierbar. Oftmals gibt es restriktive Firewallregeln, welche die Verwendung dynamischer Netzwerk-Ports nicht erlauben.
In einem solchen Fall muss die Zertifizierungsstelle auf einen statischen Port konfiguriert werden.
„Konfigurieren der Zertifizierungsstelle auf einen statischen Port (RPC-Endpunkt)“ weiterlesenAbfrage der konfigurierten RPC-Endpunkte einer Zertifizierungsstelle
In der Standardkonfiguration ist die Zertifikatbeantragungs-Schnittstelle der Zertifizierungsstelle darauf konfiguriert, dynamische Ports für die eingehenden RPC/DCOM Verbindungen auszuhandeln (näheres siehe Artikel "Benötigte Firewallregeln für Active Directory Certificate Services").
Es ist jedoch auch möglich, die Zertifizierungsstelle auf einen statischen Port zu konfigurieren (siehe Artikel "Konfigurieren der Zertifizierungsstelle auf einen statischen Port (RPC-Endpunkt)").
Nachfolgend wird beschrieben, wie die aktuelle Konfiguration der Zertifizierungsstelle überprüft werden kann.
„Abfrage der konfigurierten RPC-Endpunkte einer Zertifizierungsstelle“ weiterlesenEinordnung der ADCS-Komponenten in das administrative Schichtenmodell (Administrative Tiering Model)
Implementiert man neben den Active Directory Certificate Services auch das administrative Schichtenmodell (Administrative Tiering Model) für den Active Directory Verzeichnisdienst, stellt sich die Frage der Zuordnung der einzelnen PKI-Komponenten in dieses Modell, um eine zielgerichtete Sicherheitshärtung vornehmen zu können.
„Einordnung der ADCS-Komponenten in das administrative Schichtenmodell (Administrative Tiering Model)“ weiterlesenEine manuell erstellte Zertifikatanforderung an eine Zertifizierungsstelle senden
Liegt eine Zertifikatanforderung, beispielsweise nach manueller Erzeugung, in Form einer Textdatei (üblicherweise mit Endung .CSR oder .REQ) vor, kann diese mit Bordmitteln an die Zertifizierungsstelle gesendet werden.
„Eine manuell erstellte Zertifikatanforderung an eine Zertifizierungsstelle senden“ weiterlesenPerformanceprobleme bei Auditierung von "Start and stop Active Directory Certificate Services"
Bei der Konfiguration der Auditierungseinstellungen einer Zertifizierungsstelle ist man geneigt, die Option "Start and Stop Active Directory Certificate Services" auszuwählen. Diese Option kann unter Umständen jedoch zu Problemen führen.
„Performanceprobleme bei Auditierung von "Start and stop Active Directory Certificate Services"“ weiterlesenMehr als ein gemeinsamer Name (Common Name, CN) im Zertifikat
Heutzutage eher eine Kuriosität als wirklich praxisrelevant, aber es kommt hin und wieder vor, dass man Zertifikatanforderungen erhält, welche mehr als einen gemeinsamen Namen (Common Name) im Betreff (Subject) beinhalten. Auch wenn es erstaunlich wirken mag, dies ist durchaus möglich und auch RFC-konform.
„Mehr als ein gemeinsamer Name (Common Name, CN) im Zertifikat“ weiterlesen
Deutsch 
English