Den Certificate Enrollment Policy Web Service (CEP) für den Betrieb mit einem Domänenkonto konfigurieren

Nachfolgend wird beschrieben, wie man einen Certificate Enrollment Policy Web Service (CEP) einrichtet, dass der Dienst unter einem Domänenkonto läuft.

Die Zertifikatregistrierungs-Webdienste (Certificate Enrollment Policy Web Service, CEP und Certificate Enrollment Web Service, CES) ermöglichen die automatische Beantragung und Erneuerung von Zertifikaten einer Zertifizierungsstelle über eine Webbasierte Schnittstelle. Somit ist kein direkter Kontakt zur Zertifizierungsstelle über Remote Procedure Call (RPC) notwendig. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Zertifikatbeantragung über Certificate Enrollment Web Services (CEP, CES)".

Der Betrieb mit einem Domänenkonto kann nur dann sicher gewährleistet werden, wenn das Konto über ein komplexes Passwort verfügt, und dieses in regelmäßigen Abständen geändert wird. Sofern es in der eigenen Umgebung möglich ist sollte immer der Verwendung eines Group Managed Service Account (gMSA) oder (wenn es sich um einen dedizierten Server handelt auch der integrierten Anwendungspool-Identität) der Vorzug gegeben werden.

Wurde CEP nach der folgenden Anleitung installiert, läuft der Dienst nach der Installation mit der Identität des Anwendungspools.

Wenn CEP und CES auf dem gleichen Server installiert sind und ein Service Account mit Delegation verwendet wird, müssen die CEP und CES Application Pools unter dem gleichen Konto betrieben werden.

Voraussetzungen für das CEP Dienstkonto

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Das CEP Dienstkonto…

  • muss Mitglied der lokalen Gruppe der IIS_IUSRS sein.
  • benötigt einen Dienstprinzipalnamen (Service Principal Name, SPN), der je nach Konfiguration em vollqualifizierten Servernamen oder dem zu verwendenden Alias entsprechen muss.

Konfigurieren des Dienstprinzipalnamens (Service Principal Name, SPN) für das Dienstkonto

setspn -S HTTP/cep01.intra.adcslabor.de INTRA\Service_CEP

Dienstkonto in die IIS_IUSRS Gruppe auf dem CEP Server aufnehmen

Das Dienstkonto muss in die lokale Sicherheitsgruppe IIS_IUSRS aufgenommen werden, damit er vom CEP verwendet werden kann. Dies kann über die Managementkonsole für lokale Benutzer (lusrmgr.msc) erfolgen.

Konfigurieren des Dienstkontos im CEP-Anwendungspool

Damit der CEP Dienst mit dem Domänenkonto arbeitet, muss dieses im WSEnrollmentPolicyServer-Anwendungspool in der Internet Information Server (IIS) Managementkonsole konfiguriert werden. Hierzu wird mit rechts auf den WSEnrollmentPolicyServer-Anwendungspool geklickt und die Option "Advanced Settings…" gewählt.

Bei der Option "Identity" klickt man auf der rechten Seite auf den "…" Button.

Im nachfolgenden Dialog wählt man "Custom account" und klickt auf "Set…".

Nun kann das Domänenkonto angegeben werden. Der Domänenname muss hierbei unbedingt mit angegeben werden. Sollte das Passwort falsch eingegeben werden, erhält man bei Klick auf "OK" eine entsprechende Fehlermeldung.

Neustart des Web Server Dienstes

Der Web Server Dienst wird anschließend mit dem iisreset Befehl neu gestartet.

Weiterführende Links:

de_DEDeutsch