Details zum Ereignis mit ID 35 der Quelle Microsoft-Windows-OnlineResponder

Autor Uwe GradeneggerVeröffentlicht am Kategorien Ereignisse, Online Certificate Status Protocol (OCSP)Schlagwörter
Ereignisquelle:Microsoft-Windows-OnlineResponder
Ereignis-ID:35 (0x23)
Ereignisprotokoll:Application
Ereignistyp:Fehler
Symbolischer Name:MSG_E_CACONFIG_INSTALL_ENROLLMENT_RESPONSE_FAILED
Ereignistext (englisch):The Online Responder Service failed to install the enrollment response for configuration %1 for the signing certificate template %2 . The request ID is %3.(%4)
Ereignistext (deutsch):Der Online-Responder-Dienst konnte die Registrierungsantwort für die Konfiguration %1 für die Signaturzertifikatvorlage %2 nicht installieren. Anforderungs-ID: %3.(%4)

Parameter

Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:

  • %1: CAConfigurationId (win:UnicodeString)
  • %2: CertificateTemplateName (win:UnicodeString)
  • %3: RequestId (win:UnicodeString)
  • %4: ErrorCode (win:UnicodeString)

Der Online Responder (Online Certificate Status Protocol, OCSP) ist eine alternative Möglichkeit, Sperrstatusinformationen für Zertifikate bereitzustellen. Entitäten, die den Sperrstatus eines Zertifikats überprüfen möchten, müssen dank OCSP nicht die komplette Liste aller widerrufenen Zertifikate herunterladen, sondern können gezielt eine Anfrage für das betreffende Zertifikat an den Online Responder stellen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Online Responder (Online Certificate Status Protocol, OCSP)".

Beschreibung

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Tritt auf, wenn der Onlineresponder bei der Beantragung eines OCSP-Antwortsignaturzertifikats ein Zertifikat von der Zertifizierungsstelle erhält, welches nicht mit dem gleichen privaten Schlüssel wie in der Sperrkonfiguration signiert wurde.

Dies tritt meistens dann auf, wenn das Zertifizierungsstellen-Zertifikat mit einem neuen Schlüsselpaar erneuert wurde, jedoch die Zertifizierungsstelle nicht konfiguriert wurde, die "Authority Key Identifier " (AKI) Erweiterung zu verarbeiten.

OCSP-Antwortsignaturzertifikate müssen immer mit dem gleichen Schlüssel signiert werden, wie die zu überprüfenden Zertifikate. Wird das Zertifizierungsstellen-Zertifikat mit einem neuen Schlüsselpaar erneuert, wird für jeden der noch gültigen Zertifizierungsstellen-Schlüssel eine Sperrkonfiguration benötigt.

Die Zertifizierungsstelle wird Zertifikate immer mit dem zum neuesten Zertifizierungsstellen-Zertifikat gehörenden Schlüssel signiert. Da jedoch noch Zertifikate von früheren Schlüsseln im Umlauf sein können, deren Sperrstatus geprüft werden muss, benötigt der Onlineresponder auch für diese eine Sperrkonfiguration und je ein zum Schlüssel passendes OCSP-Antwortsignaturzertifikat.

Um zu gewährleisten, dass die Zertifizierungsstelle diese mit dem passenden Schlüssel signiert, sendet der Onlineresponder die AKI-Erweiterung in der Zertifikatanforderung mit, welche von der Zertifizierungssttelle berücksichtigt werden muss. Hierfür muss sie explizit konfiguriert werden, wie im Artikel "Die Beantragung eines bestimmten Signaturschlüssels auf einer Zertifizierungsstelle erlauben" beschrieben.

Ist die Zertifizierungsstelle nicht entsprechend konfiguriert, wird sie das Ereignis Nr. 128 protokollieren.

Sicherheitsbewertung

Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).

Hier sollte eine Alarmierung erfolgen, da die Verfügbarkeit der Sperrkonfiguration des Onlineresponders beeinträchtigt ist und es unter Umständen zu Fehlern oder unerwünschtem Verhalten bei der Sperrprüfung von Zertifikaten kommen kann.

Weiterführende Links:

Externe Quellen

Ein Gedanke zu „Details zum Ereignis mit ID 35 der Quelle Microsoft-Windows-OnlineResponder“

  1. Pingback: Details zum Ereignis mit ID 128 der Quelle Microsoft-Windows-CertificationAuthority – Uwe Gradenegger

Kommentare sind geschlossen.

de_DEDeutsch
en_USEnglish de_DEDeutsch