Nach der Installation und Konfiguration der Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) ist es unerlässlich, dass die Komponente vor der Freigabe an die Benutzer ausgiebig getestet wird. Nachfolgend eine Anleitung für einen ausführlichen Funktionstest.
Die Zertifizierungsstellen-Webregistrierung ist eine sehr alte Funktion aus Windows 2000 Zeiten – und wurde zuletzt mit dem Release von Windows Server 2003 angepasst. Entsprechend alt und potentiell unsicher ist der Code. Ebenso unterstützt die Funktion keine Zertifikatvorlagen mit Version 3 oder neuer – damit sind keine Zertifikatvorlagen nutzbar, welche Funktionen verwenden, die mit Windows Vista / Windows Server 2008 oder neuer eingeführt wurden. Es wird empfohlen, die Zertifizierungsstellen-Webregistrierung nicht einzusetzen und stattdessen eine Beantragung der Zertifikate über Bordmittel oder das PSCertificateEnrollment PowerShell Modul vorzunehmen.
Überblick
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Die Funktionstests bestehen aus den folgenden Schritten
- Aufruf der Seite
- Anmeldung an der Seite
- Übermitteln einer Zertifikatanforderung – mit Kerberos Authentifizierung
- Übermitteln einer Zertifikatanforderung – ohne Kerberos Authentifizierung
Details: Aufruf der Seite
Zunächst sollte geprüft werden, ob die Adresse des CAWE überhaupt aufgerufen werden kann. Mögliche Probleme hierbei könnten sein:
- Namensauflösung
- Verbindungsprobleme, beispielsweise aufgrund der Firewall-Konfiguration
- Webserver-Konfiguration, beispielsweise die korrekte Einrichtung von SSL
Sollten bereits hier Probleme auftreten, können folgende Artikel hilfreich sein:
- Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit HTTP Fehlercode 403 "Forbidden: Access is denied."
- Benötigte Firewallregeln für die Zertifizierungsstellen-Webregistrierung (CAWE)
- Secure Sockets Layer (SSL) für die Zertifizierungsstellen-Webregistrierung (CAWE) aktivieren
Details: Anmeldung an der Seite
Der Test sollte zunächst mit dem Internet Explorer und keinem anderen Browser durchgeführt werden.
https://{Alias-oder-Servername>/certsrv
Wenn man beim ersten Aufruf der Seite zur Authentifizierung aufgefordert wird, findet keine Kerberos-Authentifizierung statt. Üblicherweise liegt dies daran, dass die Adresse des CAWE Server nicht in die "Lokales Intranet" Zone in den Sicherheitseinstellungen des Browsers aufgenommen wurde.
Hierzu öffnet man das Menü auf mit dem Zahnradsymbol auf rechten Seite und wählt "Internet options".
Im Karteireiter "Security" klickt man auf "Sites".
Im nachfolgenden Dialog klickt man auf "Advanced".
Im nachfolgenden Dialog wird die Adresse des CAWE Servers eingetragen. Hier muss die exakte Adresse, so wie sie in der Adressleiste eingegeben wird, eingetragen werden. Bitte auch an den "https" Präfix denken.
Anschließend sollte man ohne eine Authentifizierungsmaske auf die CAWE zugreifen können.
Details: Übermitteln einer Zertifikatanforderung – mit Kerberos Authentifizierung
Ob die Kerberos-Delegierung funktioniert, wird man erst herausfinden, wenn man eine Zertifikatanforderung über die CAWE an die Zertifizierungsstelle sendet.
Diese muss unabhängig von dieser Anleitung zunächst vorbereitet werden und als Textdatei vorliegen. Außerdem muss die konfigurierter Zertifizierungsstelle eine entsprechende Zertifikatvorlage anbieten (siehe Artikel "Erzeugen einer RFC 2818 konformen Zertifikatanforderung für SSL Zertifikate"), und der Benutzer muss das "Enroll" Recht auf der Zertifikatanforderung besitzen.
Der Inhalt der Zertifikatanforderung wird in die Zwischenablage kopiert.
In der CAWE wird "Request a certificate" gewählt.
Im nachfolgenden Dialog wird die zweite Option "Submit a certificate request…" gewählt.
Im nachfolgenden Dialog wird der Inhalt der in die Zwischenablage kopierten Zertifikatanforderung in das Feld "Saved Request" eingefügt.
Im Bereich "Certificate Template" wird die gewünschte Zertifikatvorlage ausgewählt.
Anschließend wird auf "Submit" geklickt.
Sollte hier nicht die gewünschte Zertifikatvorlage angezeigt werden könnten folgender Artikel hilfreich sein:
Anschließen sollte ein Dialog angezeigt werden, der den Benutzer informiert, dass die Webseite mit der Identität des Benutzers eine Zertifikatoperation durchführt.
Hat man den Dialog mit "Yes" bestätigt, sollte nun das ausgestellte Zertifikat zum Download angeboten werden.
Sollte stattdessen eine Fehlermeldung ausgegeben werden, oder die Beantragung sehr lange dauern, sind eventuell folgende Artikel hilfreich bei der Fehlersuche:
- Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) dauert sehr lange
- Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit HTTP Fehlercode 500 "Internal Server error"
- Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit Fehlercode "ERROR_ACCESS_DENIED"
- Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit Fehlercode "RPC_S_SERVER_UNAVAILABLE"
Details: Übermitteln einer Zertifikatanforderung – ohne Kerberos Authentifizierung
Waren die Tests bis hierhin erfolgreich, sollten die Tests ohne Kerberos Authentifizierung und mit anderen Browsern und Betriebssystemen wiederholt werden, beispielsweise:
- Internet Explorer, ohne Eintrag der CAWE Seite in der "Lokales Intranet" Zone
- Edge
- Mozilla Firefox
- Google Chrome
Jede dieser Kombinationen sollte erfolgreich getestet werden.
Sollten hierbei Fehler auftreten, können folgende Artikel hilfreich sein: