Nach der Installation einer Zertifikatbeantragungs-Richtlinienservers (Certificate Enrollment Policy Web Service, CEP), oder nach umfangreicheren Wartungsarbeiten sollte ein ausgiebiger Funktionstest erfolgen, um sicherzustellen, dass alle Komponenten wie gewünscht arbeiten.
Die Zertifikatregistrierungs-Webdienste (Certificate Enrollment Policy Web Service, CEP und Certificate Enrollment Web Service, CES) ermöglichen die automatische Beantragung und Erneuerung von Zertifikaten einer Zertifizierungsstelle über eine Webbasierte Schnittstelle. Somit ist kein direkter Kontakt zur Zertifizierungsstelle über Remote Procedure Call (RPC) notwendig. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Zertifikatbeantragung über Certificate Enrollment Web Services (CEP, CES)".
Vorgehensweise
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Zu einem Funktionstest des Zertifikatbeantragungs-Richtlinienservers gehören die folgenden Schritte:
- Start des Zertifikatbeantragungs-Richtlinienserver-Dienstes sicherstellen
- Überprüfen der Ereignisanzeige des Zertifikatbeantragungs-Richtlinienservers
- Verbindung zum Zertifikatbeantragungs-Richtlinienserver überprüfen
- Zertifikatbeantragungs-Richtlinie erstellen
- Zertifikatvorlagen über den Zertifikatbeantragungs-Richtlinienserver abfragen
- Ein Zertifikat mit CEP beantragen
Details: Start des Zertifikatbeantragungs-Richtlinienserver-Dienstes sicherstellen
Da der Zertifikatbeantragungs-Richtlinienserver als Modul innerhalb des Internet Information Server (IIS) Dienstes realisiert ist, kann man den Dienststart nicht über die Verwaltungskontole für Dienste (services.msc) kontrollieren. Stattdessen wird ein entsprechendes Ereignis mit Nr. 1 in der Ereignisanzeige protokolliert.
Dieses wird jedoch erst beim ersten Aufruf durch einen Antragsteller erzeugt, sodass hierzu zunächst der weiter unten beschriebene Schritt "Verbindung zum Zertifikatbeantragungs-Richtlinienserver überprüfen" ausgeführt werden muss.
Details: Überprüfen der Ereignisanzeige des Zertifikatbeantragungs-Richtlinienservers
Siehe hierzu auch Artikel "Übersicht über die vom Zertifikatregistrierungs-Richtliniendienst (CEP) generierten Windows-Ereignisse".
Zunächst sollte die Windows-Ereignisanzeige auf dem Zertifikatbeantragungs-Richtlinienserver nach allen relevanten Ereignissen untersucht werden, die auf einen Fehler hinweisen könnten. Hierzu gibt es in der Ereignisanzeige eine vorgefertigte Ansicht unter "Custom Views" – "Server Roles" – "Active Directory Certificate Services", welche bereits die benötigten Filter auf die Ereignisanzeige definiert hat.
Details: Verbindung zum Zertifikatbeantragungs-Richtlinienserver überprüfen
Die Kerberos-Authentifizierung kann mit folgendem Kommandozeilenbefehl getestet werden.
certutil -ping -kerberos -config "https://{Servername}/ADPolicyProvider_CEP_Kerberos/service.svc/CEP" CEP
Die Authentifizierung mit Benutzername und Kennwort kann mit folgendem Kommandozeilenbefehl getestet werden.
certutil -username {Domäne}\{Benutzername} -p {Passwort} -ping -config "https://{Servername}/ADPolicyProvider_CEP_UsernamePassword/service.svc/CEP" CEP
Die Authentifizierung mit einem Clientzertifikat kann mit folgendem Kommandozeilenbefehl getestet werden.
certutil -ClientCertificate {Thumbprint} -ping -config "https://{ServerName}/ADPolicyProvider_CEP_Certificate/service.svc/CEP" CEP
Falls es bei diesem Schritt zu Problemen kommt, können folgende Artikel unter Umständen hilfreich sein:
Details: Zertifikatbeantragungs-Richtlinie erstellen
Nun kann eine Zertifikatbeantraguns-Richtlinie konfiguriert werden. Die Vorgehensweise ist im Artikel "Konfiguration einer Zertifikatbeantragungs-Richtlinie (Enrollment Policy) für die Zertifikatbeantragungs-Webdienste (CEP, CES)" beschrieben.
Falls es bei diesem Schritt zu Problemen kommt, können folgende Artikel unter Umständen hilfreich sein:
- Die Erstellung einer Zertifikatregistrierungsrichtlinie (Enrollment Policy) für den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit der Fehlermeldung "This ID conflicts with an existing ID.”
- Die Erstellung einer Zertifikatregistrierungsrichtlinie (Enrollment Policy) für den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit dem Fehlercode "WS_E_INVALID_FORMAT"
- Die Erstellung einer Zertifikatregistrierungsrichtlinie (Enrollment Policy) für den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit dem Fehlercode "WS_E_ENDPOINT_NOT_FOUND"
- Die Überprüfung der Zertifikatregistrierungsrichtlinie über den Zertifikatregistrierungs-Richtlinienwebdienst (CEP) schlägt fehl mit Fehlercode "WS_E_ENDPOINT_FAULT_RECEIVED"
- Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung "You cannot request a certificate at this time because no certificate types are available."
Details: Zertifikatvorlagen über den Zertifikatbeantragungs-Richtlinienserver abfragen
Wurde für den aktuellen Benutzer wie zuvor beschrieben eine Zertifikatbeantragungs-Richtlinie konfiguriert, kann mit dieser nun eine Abfrage der Zertifikatvorlagen über den Zertifikatbeantragungs-Richtlinienserver erfolgen.
certutil -template -policyserver *
Hierbei handelt es sich um zwischengespeicherte Informationen, die erst generiert werden, wenn zuvor eine Abfrage mit der Microsoft Management Konsolem (MMC) erfolgte.
Ein Zertifikat mit CEP beantragen
Hierfür muss zunächst auch ein Zertifikatregistrierungs-Webdienst (Certificate Enrollment Web Service, CES) im Netzwerk installiert werden. Eine Beschreibung der Vorgehensweise findet sich im Artikel "Installation eines Certificate Enrollment Web Service (CES)".
Anschließend kann eine Zertifikatregistrierungs-Richtlinie eingerichtet werden und ein Zertifikat über die Webdienste beantragt werden.
Falls es bei diesem Schritt zu Problemen kommt, können folgende Artikel unter Umständen hilfreich sein:
- Die Beantragung eines Zertifikats über die Certificate Enrollment Web Services schlägt fehl mit Fehlermeldung "Error: The remote endpoint is unable to process the request due to being overloaded. 0x803d0012 (-2143485934 WS_E_ENDPOINT_TOO_BUSY)"
- Die Beantragung eines Zertifikats über die Certificate Enrollment Web Services schlägt fehl mit Fehlermeldung "Error: A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)"
- Die Beantragung eines Zertifikats über die Certificate Enrollment Web Services schlägt fehl mit Fehlermeldung "Error: The operation timed out 0x80072ee2 (WinHttp: 12002 ERROR_WINHTTP_TIMEOUT)"
- Die Beantragung eines Zertifkats über den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung "ERROR_WINHTTP_CONNECTION_ERROR"
- Die Beantragung eines Zertifkats über den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung "The requested certificate template is not supported by this CA."
- Die Beantragung eines Zertifikats über den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung "A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted."
- Die Beantragung eines Zertifikats über den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung "Error: Access was denied by the remote endpoint. 0x803d0005 -2143485947 WS_E_ENDPOINT_ACCESS_DENIED"
- Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlercode "ERROR_WINHTTP_INVALID_CA"
Weitere mögliche Fehler, die an dieser Stelle auftreten können, im Zertifikatregistrierungs-Webdienst (CES) ursächlich sind, sind entsprechend im Artikel "Funktionstest durchführen für den Certificate Enrollment Web Service (CES)" beschrieben.
Nacharbeiten
Sofern zum Testen manuell eine Zertifikatbeantragungs-Richtlinie eingerichtet wurde, kann diese nun wieder entfernt werden. Die Vorgehensweise hierzu ist im Artikel "Löschen einer manuell konfigurierten Zertifikatbeantragungs-Richtlinie (Enrollment Policy)" beschrieben.
Deutsch 
English
4 Gedanken zu „Funktionstest durchführen für den Certificate Enrollment Policy Web Service (CEP)“
Kommentare sind geschlossen.