Den Zwischenspeicher für Zertifikatregistrierungsrichtlinien (Enrollment Policy Cache) für den Certificate Enrollment Policy Web Service (CEP) einsehen und löschen

Nachdem eine Zertifikatregistrierungsrichtlinie (Enrollment Policy) konfiguriert und von einem Teilnehmer verwendet wurde, werden die Ergebnisse lokal zwischengespeichert (Enrollment Policy Cache).

Nimmt man nun Veränderungen an der Infrastruktur vor, beispielsweise indem man eine neue Zertifikatvorlage auf einer per Certificate Enrollment Web Service (CES) erreichbaren Zertifizierungsstelle veröffentlicht oder entfernt, werden diese Änderungen aufgrund des Zwischenspeichers nicht sofort für die Teilnehmer sichbar.

Aus diesem Grund kann es unter Umständen hilfreich sein, den Zwischenspeicher einzusehen oder zu löschen.

Die Zertifikatregistrierungs-Webdienste (Certificate Enrollment Policy Web Service, CEP und Certificate Enrollment Web Service, CES) ermöglichen die automatische Beantragung und Erneuerung von Zertifikaten einer Zertifizierungsstelle über eine Webbasierte Schnittstelle. Somit ist kein direkter Kontakt zur Zertifizierungsstelle über Remote Procedure Call (RPC) notwendig. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Zertifikatbeantragung über Certificate Enrollment Web Services (CEP, CES)".

Wann wird der Cache erzeugt?

Die Zwischenspeicherung erfolgt in dem Moment, in welchem der CEP das erste Mal kontaktiert wird, um Informationen

Mit folgenden Kommandozeilenbefehl kann man den Enrollment Policy Cache für das Computerkonto einsehen:

certutil -policyserver * -policycache

Mit folgenden Kommandozeilenbefehl kann man den Enrollment Policy Cache für den angemeldeten Benutzer einsehen:

certutil -user -policyserver * -policycache 

Wo wird der Cache gespeichert?

Der Enrollment Policy Cache wird in einer lokalen Datei abgelegt:

  • Für das Computerkonto unter %ProgramData%\Microsoft\Windows\X509Enrollment.
  • Für den aktuell angemeldeten Benutzer unter %USERPROFILE%\AppData\Local\Microsoft\Windows\X509Enrollment.

Löscht man die in den Ordnern befindlichen Dateien bewirkt dies eine Löschung des Cache.

Wie lange ist der Cache gültig?

Die Dateien sind in XML formatiert und können mit einem Texteditor eingesehen werden. In der XML Struktur gibt es ein Element namens nextUpdateHours, welches dden Gültigkeitszeitraum des Cache-Eintrags angibt.

Löschen des Enrollment Policy Cache

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Es genügt, die Dateien des Enrollment Policy Cache zu löschen. Alternativ dazu kann eine Löschung per Kommandozeile erfolgen.

Mit folgenden Kommandozeilenbefehl kann man den Enrollment Policy Cache für das Computerkonto löschen:

certutil -f -policyserver * -policycache delete

Mit folgenden Kommandozeilenbefehl kann man den Enrollment Policy Cache für den angemeldeten Benutzer löschen:

certutil -f -user -policyserver * -policycache delete

Auch der Zertifikatregistrierungs-Richtliniendienst (CEP) speichert die Informationen zwischen. Hat man also eine Änderung an einer Zertifikatvorlage vorgenommen, eine Zertifikatvorlage neu veröffentlicht oder entfernt, wird der CEP zunächst weiterhin die veralteten vorigen Informationen ausliefern. Eine Aktualisierung des serverseitigen Cache kann durch Neustart des WSEnrollmentPolicyWebService Anwendungspools oder des Web Server Dienstes erzwungen werden.

Wenn der Cache keine EInträge enthält und man den Befehl ausführt, schlägt er übrigens mit folgender Fehlermeldung fehl:

CertUtil: -PolicyCache command FAILED: 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)
CertUtil: The parameter is incorrect.

Weiterführende Links:

Ein Gedanke zu „Den Zwischenspeicher für Zertifikatregistrierungsrichtlinien (Enrollment Policy Cache) für den Certificate Enrollment Policy Web Service (CEP) einsehen und löschen“

Kommentare sind geschlossen.

de_DEDeutsch