Ereignisquelle: | Microsoft-Windows-Kerberos-Key-Distribution-Center |
Ereignis-ID: | 19 (0x80000013) |
Ereignisprotokoll: | System |
Ereignistyp: | Warnung |
Ereignistext (englisch): | This event indicates an attempt was made to use smartcard logon, but the KDC is unable to use the PKINIT protocol because it is missing a suitable certificate. |
Ereignistext (deutsch): | Dieses Ereignis zeigt an, dass ein Versuch unternommen wurde, die Smartcard-Anmeldung zu verwenden, aber der KDC kann das PKINIT-Protokoll nicht verwenden, weil ein geeignetes Zertifikat fehlt. |
Details zum Ereignis mit ID 20 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center
Ereignisquelle: | Microsoft-Windows-Kerberos-Key-Distribution-Center |
Ereignis-ID: | 20 (0x80000014) |
Ereignisprotokoll: | System |
Ereignistyp: | Warnung |
Ereignistext (englisch): | The currently selected KDC certificate was once valid, but now is invalid and no suitable replacement was found. Smartcard logon may not function correctly if this problem is not remedied. Have the system administrator check on the state of the domain’s public key infrastructure. The chain status is in the error data. |
Ereignistext (deutsch): | Das zurzeit ausgewählte KDC-Zertifikat war zuvor gültig, ist jetzt aber ungültig. Es wurde kein geeigneter Ersatz gefunden. Die Smartcard-Anmeldung funktioniert ggf. nicht richtig, wenn dieses Problem nicht behoben wird. Lassen Sie den Systemadministrator den Status der Public Key-Infrastruktur (PKI) der Domäne überprüfen. Der Kettenstatus ist in den Fehlerdaten enthalten. |
Details zum Ereignis mit ID 29 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center
Ereignisquelle: | Microsoft-Windows-Kerberos-Key-Distribution-Center |
Ereignis-ID: | 29 (0x8000001D) |
Ereignisprotokoll: | System |
Ereignistyp: | Warnung |
Ereignistext (englisch): | The Key Distribution Center (KDC) cannot find a suitable certificate to use for smart card logons, or the KDC certificate could not be verified. Smart card logon may not function correctly if this problem is not resolved. To correct this problem, either verify the existing KDC certificate using certutil.exe or enroll for a new KDC certificate. |
Ereignistext (deutsch): | Vom Schlüsselverteilungscenter (Key Distribution Center, KDC) kann kein passendes Zertifikat für Smartcard-Anmeldungen gefunden werden, oder das KDC-Zertifikat konnte nicht verifiziert werden. Das Anmelden per Smartcard funktioniert möglicherweise nicht ordnungsgemäß, so lange dieses Problem nicht behoben wurde. Verifizieren Sie zum Beheben dieses Problems entweder das vorhandene KDC-Zertifikat mithilfe von "certutil.exe", oder registrieren Sie sich für ein neues KDC-Zertifikat. |
Details zum Ereignis mit ID 120 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center
Ereignisquelle: | Microsoft-Windows-Kerberos-Key-Distribution-Center |
Ereignis-ID: | 120 (0x78) |
Ereignisprotokoll: | Microsoft-Windows-Kerberos-Key-Distribution-Center/Operational |
Ereignistyp: | Fehler |
Ereignistext (englisch): | The Key Distribution Center (KDC) failed to validate its current KDC certificate. This KDC might not be enabled for smart card or certificate authentication. Kdc Certificate Information: Issuer Name: %1 Serial Number: %2 Thumbprint: %3 Template: %4 Kerberos Error: %5 Validation Error: %6 |
Ereignistext (deutsch): | Das Schlüsselverteilungscenter (KDC) konnte das aktuelle KDC-Zertifikat nicht überprüfen. Dieses KDC kann möglicherweise nicht für die Smartcard- oder Zertifikatauthentifizierung verwendet werden. KDC-Zertifikatinformationen: Ausstellername: %1 Seriennummer: %2 Fingerabdruck: %3 Vorlage: %4 Kerberos-Fehler: %5 Überprüfungsfehler: %6 |
Den Signaturalgorithmus einer Zertifizierungsstellen-Hierarchie ändern, ohne neue Zertifizierungsstellen-Zertifikate auszustellen
Mitunter kann es erforderlich sein, den Signaturalgorithmus einer bereits installierten Zertifizierungsstellen-Hierarchie nachträglich zu ändern.
Häufig ist dies der Fall, weil man diese mit PKCS#1 Version 2.1 installiert hat und im Nachgang leider feststellen muss, dass nicht alle Anwendungen zu den daraus entstehenden Zertifikaten kompatibel sind, und die Hierarchie somit nicht verwenden können.
Ist es noch relativ einfach, den Signaturalgorithmus für die von einer Zertifizierungsstelle ausgestellten Zertifikate nachträglich zu ändern, wird es bei den Zertifizierungsstellen-Zertifikaten schon schwieriger.
„Den Signaturalgorithmus einer Zertifizierungsstellen-Hierarchie ändern, ohne neue Zertifizierungsstellen-Zertifikate auszustellen“ weiterlesenDer Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)"
Folgendes Szenario angenommen:
- Es ist eine Zertifizierungsstelle im Netzwerk implementiert.
- Der Zertifizierungsstellen-Dienst startet nicht.
- Beim Versuch, den Zertifizierungsstellen-Dienst zu starten, erhält man folgende Fehlermeldung:
The parameter is incorrect. 0x57 (WIN32: 87 ERROR_INVALID_PARAMETER)„Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)"“ weiterlesen
PKCS#1 Version 2.1 für ausgestellte Zertifikate und Sperrlisten einer Zertifizierungsstelle konfigurieren
Mitunter kann es erforderlich sein, den Signaturalgorithmus einer bereits installierten Zertifizierungsstelle nachträglich zu ändern.
„PKCS#1 Version 2.1 für ausgestellte Zertifikate und Sperrlisten einer Zertifizierungsstelle konfigurieren“ weiterlesenPKCS#1 Version 2.1 für eine Stammzertifizierungsstelle (Root CA) einsetzen (eigenes und ausgestellte Zertifikate)
Vor der Installation einer eigenständigen Stammzertifizierungsstelle (Standalone Root CA) kommt die Frage auf, welche kryptographischen Algorithmen eingesetzt werden sollen.
„PKCS#1 Version 2.1 für eine Stammzertifizierungsstelle (Root CA) einsetzen (eigenes und ausgestellte Zertifikate)“ weiterlesenGrundlagen: Schlüsselalgorithmen, Signaturalgorithmen und Signaturhashalgorithmen
Bei der Planung einer Public Key Infrastruktur kommt die Frage auf, welche kryptographischen Algorithmen diese verwenden sollte.
Die wichtigsten Grundlagen werden nachfolgend erläutert.
„Grundlagen: Schlüsselalgorithmen, Signaturalgorithmen und Signaturhashalgorithmen“ weiterlesenKonfigurieren einer Zertifikatvorlage für Domänencontroller
Auch bei einer vermeintlich simpel zu konfigurierenden Zertifikatvorlage für Domänencontroller gibt es einiges zu beachten.
„Konfigurieren einer Zertifikatvorlage für Domänencontroller“ weiterlesenSmartcard Anmeldung im Netzwerk unterbinden
Installiert man die Active Directory Zertifikatdienste in der Standard-Konfiguration, wird die Umgebung automatisch dafür konfiguriert, dass Smartcard-Anmeldungen von den Domänencontrollern akzeptiert werden.
Wenn die Verwendung von Smartcard Anmeldungen nicht gewünscht ist, ist es daher sinnvoll, die Funktionalität abzustellen, um im Falle der Kompromittierung der Zertifizierungsstelle das Active Directory nicht zu gefährden.
„Smartcard Anmeldung im Netzwerk unterbinden“ weiterlesenDen Zertifikatbeantragungs-Webdienst (CES) nach der Migration einer Zertifizierungsstelle auf einen neuen Server anpassen
Wird im Netzwerk ein Zertifikatbeantragungs-Webdienst (Certificate Enrollment Web Service, CES) betrieben, ist es nach der "Migration einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) auf einen anderen Server" erforderlich, dass die Konfiguration des CES an die neue Situation angepasst wird.
In der Konfiguration des CES ist ein Konfigurations-String (Config String) hinterlegt, welcher den Servernamen der verbundenen Zertifizierungsstelle enthält. Ändert sich dieser, muss die Konfiguration entsprechend angepasst werden.
„Den Zertifikatbeantragungs-Webdienst (CES) nach der Migration einer Zertifizierungsstelle auf einen neuen Server anpassen“ weiterlesenGrundlagen: Auffinden von Zertifikaten und Validierung des Zertifizierungspfades
Um feststellen zu können, ob ein Zertifikat von einer als vertrauenswürdig eingestuften Zertifizierungsstelle ausgestellt wurde, muss eine Vertrauenskette (engl. Trust Chain) gebildet werden. Hierfür müssen alle Zertifikate in der Kette ermittelt und überprüft werden. Die Microsoft CryptoAPI bildet alle möglichen Zertifikatketten und liefert diejenigen mit der höchsten Qualität an die anfragende Anwendung zurück.
„Grundlagen: Auffinden von Zertifikaten und Validierung des Zertifizierungspfades“ weiterlesenGrundlagen: Überprüfung des Sperrstatus von Zertifikaten
Soll ein gültiges, noch nicht abgelaufenes Zertifikat aus dem Verkehr gezogen werden, muss es widerrufen werden. Hierfür pflegen die Zertifizierungsstellen entsprechende Sperrlisten, in welchen die digitalen Fingerabdrücke der widerrufenen Zertifikate aufgelistet sind. Sie müssen bei der Gültigkeitsprüfung abgefragt werden.
„Grundlagen: Überprüfung des Sperrstatus von Zertifikaten“ weiterlesenDen Onlineresponder (OCSP) mit einem SafeNet Hardware Security Module (HSM) verwenden
Mit dem SafeNet Key Storage Provider ist es nicht möglich, Berechtigungen auf die privaten Schlüssel zu setzen: die Microsoft Management Console (MMC) wird hierbei abstürzen.
„Den Onlineresponder (OCSP) mit einem SafeNet Hardware Security Module (HSM) verwenden“ weiterlesen