Kategorie: Zertifizierungsstelle

Das SMTP Exit Modul funktioniert nicht auf Windows Server Core

Folgendes Szenario angenommen:

  • Es wird eine Zertifizierungsstelle auf Windows Server Core installiert.
  • Es wird das mit der Zertifizierungsstelle mitgelieferte SMTP Exit Modul konfiguriert.
  • Die Zertifizierungsstelle versendet jedoch keine E-Mails.
  • Im Ereignisprotokoll wird das Ereignis Nr. 46 mit folgender Fehlermeldung protokolliert:
The "Windows default" Exit Module "Initialize" method returned an error. Class not registered The returned status code is 0x80040154 (-2147221164). The Certification Authority was unable to initialize email messaging objects.
„Das SMTP Exit Modul funktioniert nicht auf Windows Server Core“ weiterlesen

Die Beantragung eines bestimmten Signaturschlüssels auf einer Zertifizierungsstelle erlauben

Die Microsoft-Zertifizierungsstelle signiert Zertifikate immer mit dem zum aktuellsten Zertifizierungsstellen-Zertifikat gehörenden Schlüssel. Das Signaturzertifikat für eine OCSP-Antwort sollte gemäß RFC 6960 jedoch vom gleichen Schlüssel signiert werden, wie das zu überprüfende Zertifikat:

The CA SHOULD use the same issuing key to issue a delegation certificate as that used to sign the certificate being checked for revocation.

https://tools.ietf.org/html/rfc6960#section-4.2.2.2

Wird das Zertifizierungsstellen-Zertifikat erneuert und dabei ein neues Schlüsselpaar verwendet, ist es jedoch erforderlich, dass der Onlineresponder weiterhin gültige Signaturzertifikate für die mit dem vorigen Zertifizierungsstellen-Zertifikat ausgestellten Zertifikate vorhält, da diese schließlich weiterhin gültig sind und auf Sperrung überprüft werden müssen.

„Die Beantragung eines bestimmten Signaturschlüssels auf einer Zertifizierungsstelle erlauben“ weiterlesen

Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "The system cannot find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)"

Folgendes Szenario angenommen:

  • Es wird eine Zertifikatanforderung an eine Zertifizierungsstelle gesendet.
  • Die Beantragung des Zertifikats schlägt mit folgender Fehlermeldung fehl:
Error Parsing Request The system cannot find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)
„Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "The system cannot find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)"“ weiterlesen

Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA)."

Folgendes Szenario angenommen:

  • Ein Benutzer sendet eine Zertifikatanforderung an eine Zertifizierungsstelle.
  • Die Beantragung des Zertifikats schlägt mit folgender Fehlermeldung fehl:
Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA).
Denied by Policy Module.
„Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA)."“ weiterlesen

Windows Server Migrations-Matrix für die Zertifizierungsstelle

Spätestens, wenn das Ende der Produkt-Unterstützung durch den Hersteller (Microsoft) naht, stellt sich die Frage, wie und auf welches Betriebssystem eine Zertifizierungsstelle migriert werden soll.

„Windows Server Migrations-Matrix für die Zertifizierungsstelle“ weiterlesen

Migration einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) auf einen anderen Server

Oftmals lebt eine Zertifizierungsstelle deutlich länger, als der Server, auf welchem sie installiert wurde. Gründe für eine Migration der Zertifizierungsstelle auf einen neuen Server, d.h. unter Beibehaltung der Daten, können sein:

  • Defekt oder Ende der Lebensdauer der Server-Hardware
  • Ende der Lebensdauer des Server-Betriebssystems
  • Änderung des Server-Namens

Nachfolgend wird die Vorgehensweise für die Migration im Detail beschrieben.

„Migration einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) auf einen anderen Server“ weiterlesen

Ende der Produkt-Unterstützung durch den Hersteller (Microsoft)

Jedes Windows Server Betriebssystem hat ein definiertes Enddatum, ab welchem es seitens des Herstellers keine Produktunterstützung mehr gibt. Auch Zertifizierungsstellen sind an dieses Datum gebunden, und sollten daher bereits vor Ablauf dieses Datums migriert werden.

„Ende der Produkt-Unterstützung durch den Hersteller (Microsoft)“ weiterlesen

Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)"

Folgendes Szenario angenommen:

  • Es ist eine Zertifizierungsstelle im Netzwerk implementiert.
  • Der Zertifizierungsstellen-Dienst startet nicht.
  • Beim Versuch, den Zertifizierungsstellen-Dienst zu starten, erhält man folgende Fehlermeldung:
Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)
„Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)"“ weiterlesen

Konfiguration der Überwachung von Sicherheitsereignissen (Auditierungseinstellungen) für Zertifizierungsstellen

Im Gegensatz zu betrieblichen Ereignissen, die oft unter dem Begriff "Monitoring" verstanden werden, handelt es sich bei der Auditierung für die Zertifizierungsstelle um die Konfiguration der Protokollierung von sicherheitsrelevanten Ereignissen.

„Konfiguration der Überwachung von Sicherheitsereignissen (Auditierungseinstellungen) für Zertifizierungsstellen“ weiterlesen

Funktionstest durchführen für eine Zertifizierungsstelle

Nach der Installation einer Zertifizierungsstelle, nach der Migration auf einen neuen Server, oder nach umfangreicheren Wartungsarbeiten sollte ein ausgiebiger Funktionstest erfolgen, um sicherzustellen, dass alle Komponenten der Zertifizierungsstelle wie gewünscht arbeiten.

„Funktionstest durchführen für eine Zertifizierungsstelle“ weiterlesen

Veröffentlichen einer Zertifikatsperrliste (CRL) auf einem Active Directory Sperrlistenverteilungspunkt (CDP)

Mitunter ist es erforderlich, dass ein von einer Zertifizierungsstelle ausgestelltes Zertifikat bereits vor dessen Ablaufdatum aus dem Verkehr gezogen werden muss. Um dies zu ermöglichen, hält eine Zertifizierungsstelle eine Sperrliste vor. Hierbei handelt es sich um eine signierte Datei mit einem relativ kurzen Ablaufdatum, welches in Kombination mit dem Zertifikat zur Überprüfung der Gültigkeit herangezogen wird.

In manchen Fällen (beispielsweise bei einer Offline-Zertifizierungsstelle, oder wenn vom Standard abweichende LDAP-Sperrlistenverteilungspunkte konfiguriert wurden) muss die Zertifikatsperrliste manuell ins Active Directory veröffentlicht werden.

„Veröffentlichen einer Zertifikatsperrliste (CRL) auf einem Active Directory Sperrlistenverteilungspunkt (CDP)“ weiterlesen

Erstellen und Veröffentlichen einer Zertifikatsperrliste

Mitunter ist es erforderlich, dass ein von einer Zertifizierungsstelle ausgestelltes Zertifikat bereits vor dessen Ablaufdatum aus dem Verkehr gezogen werden muss. Um dies zu ermöglichen, hält eine Zertifizierungsstelle eine Sperrliste vor. Hierbei handelt es sich um eine signierte Datei mit einem relativ kurzen Ablaufdatum, welches in Kombination mit dem Zertifikat zur Überprüfung der Gültigkeit herangezogen wird.

Nachdem ein Zertifikat widerrufen wurde, muss eine neue Sperrliste erstellt und veröffentlicht werden, damit Entitäten, die den Sperrstatus überprüfen, über die Sperrung informiert werden. Da die Sperrliste ein verhältnismäßig kurzes Ablaufdatum hat, muss sie auch ohne inhaltliche Änderung in regelmäßigen Abständen neu ausgestellt werden.

„Erstellen und Veröffentlichen einer Zertifikatsperrliste“ weiterlesen

Widerrufen eines ausgestellten Zertifikats

Mitunter ist es erforderlich, dass ein von einer Zertifizierungsstelle ausgestelltes Zertifikat bereits vor dessen Ablaufdatum aus dem Verkehr gezogen werden muss. Um dies zu ermöglichen, hält eine Zertifizierungsstelle eine Sperrliste vor. Hierbei handelt es sich um eine signierte Datei mit einem relativ kurzen Ablaufdatum, welches in Kombination mit dem Zertifikat zur Überprüfung der Gültigkeit herangezogen wird.

Beim Widerrufen eines Zertifikats wird dessen Seriennummer auf die Sperrliste gesetzt. Entitäten, die die Sperrung eines Zertifikats überprüfen, betrachten es dann als nicht mehr gültig.

„Widerrufen eines ausgestellten Zertifikats“ weiterlesen

Die Beantragung eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung "The certification authority’s certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)"

Folgendes Szenario angenommen:

  • Es wird ein Zertifizierungsstellen-Zertifikat von einer Zertifizierungsstelle beantragt
  • Die Zertifikatanforderung schlägt mit folgender Fehlermeldung fehl:
The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)
Denied by Policy Module
„Die Beantragung eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung "The certification authority’s certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)"“ weiterlesen

Einschränkung der Pfadlänge (Path Length Constraint) für von einer Zertifizierungsstelle ausgestellte Zertifikate konfigurieren

Für eine stärkere Kontrolle über die von einer Zertifizierungsstelle ausstellbaren Zertifikate kann eine Einschränkung der Pfadlänge (Path Length Constraint) eingerichtet werden, sodass Zertifizierungsstellen ab einer definierten Hierarchieebene nicht mehr in der Lage sind untergeordnete Zertifizierungsstellen-Zertifikate auszustellen

Für eine Erklärung der Funktionsweise der Einschränkung der Pfadlänge siehe Artikel "Grundlagen: Einschränkung der Pfadlänge (Path Length Constraint)".

„Einschränkung der Pfadlänge (Path Length Constraint) für von einer Zertifizierungsstelle ausgestellte Zertifikate konfigurieren“ weiterlesen
de_DEDeutsch
en_USEnglish de_DEDeutsch