Warum Active Directory integrierte Zertifizierungsstellen Mitglieder der "Pre-Windows 2000 Compatible Access" Sicherheitsgruppe sind

Im Rahmen von Sicherheitshärtungsmaßnahmen gegen den Active Directory Verzeichnisdienst kommt des Öfteren die Frage auf, warum Active Directory integrierte Zertifizierungsstellen (Enterprise Certification Authority) Mitglieder der Sicherheitsgruppe Pre-Windows 2000 Compatible Access sind.

„Warum Active Directory integrierte Zertifizierungsstellen Mitglieder der "Pre-Windows 2000 Compatible Access" Sicherheitsgruppe sind“ weiterlesen

Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung "Failed to enroll RA certificates. The RPC Server is unavailable. 0x800706ba (Win32: 1722 RPC_S_SERVER_UNAVAILABLE)"

Folgendes Szenario angenommen:

  • Man installiert einen Network Device Enrollment Service (NDES) Server
  • Man verfügt über die erforderlichen Berechtigungen zur Installation der Rolle (lokaler Administrator, Enterprise Administrator)
  • Die Rollenkonfiguration schlägt mit folgender Fehlermeldung fehl: 
Failed to enroll RA certificates. The RPC Server is unavailable. 0x800706ba (Win32: 1722 RPC_S_SERVER_UNAVAILABLE)
„Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung "Failed to enroll RA certificates. The RPC Server is unavailable. 0x800706ba (Win32: 1722 RPC_S_SERVER_UNAVAILABLE)"“ weiterlesen

Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung "Failed to enroll RA certificates. The endpoint is a duplicate. 0x800706cc (WIN32: 1740 RPC_S_DUPLICATE_ENDPOINT)"

Folgendes Szenario angenommen:

  • Man installiert einen Network Device Enrollment Service (NDES) Server.
  • Man verfügt über die erforderlichen Berechtigungen zur Installation der Rolle (lokaler Administrator, Enterprise Administrator).
  • Die Rollenkonfiguration schlägt mit folgender Fehlermeldung fehl: 
Failed to enroll RA certificates. The endpoint is a duplicate. 0x800706cc (WIN32: 1740 RPC_S_DUPLICATE_ENDPOINT)
„Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung "Failed to enroll RA certificates. The endpoint is a duplicate. 0x800706cc (WIN32: 1740 RPC_S_DUPLICATE_ENDPOINT)"“ weiterlesen

Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung "Insufficient access rights to perform this operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)"

Folgendes Szenarion angenommen:

  • Man installiert einen Network Device Enrollment Service (NDES) Server.
  • Die Rollenkonfiguration schlägt mit folgender Fehlermeldung fehl:
Insufficient access rights to perform this operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS
„Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung "Insufficient access rights to perform this operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)"“ weiterlesen

Einsicht in den Zertifikatspeicher des Onlineresponders (OCSP) und Überprüfung der Signaturzertifikate

Manchmal ist es notwendig, ein Signaturzertifikats eines Online Responders zu überprüfen, etwa wenn die Verbindung zum (falls vorhanden) Hardware Security Modul (HSM) überprüft werden muss. Der Online-Responder verwendet, wenn die Zertifikate automatisch von einer Zertifizierungsstelle abgerufen werden, einen eigenen Zertifikatspeicher.

„Einsicht in den Zertifikatspeicher des Onlineresponders (OCSP) und Überprüfung der Signaturzertifikate“ weiterlesen

certutil -dcinfo schlägt fehl mit Fehlermeldung "KDC certificates: Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)"

Folgendes Szenario angenommen:

  • Domänencontroller verfügen über Zertifikate für LDAP über SSL.
  • Die Zertifikate beinhalten weder das Extended Key Usage "Smart Card Logon" noch "Kerberos Authentication".
  • Führt man certutil -dcinfo aus, meldet der Befehl folgende Fehlermeldung:
0 KDC certificates for DC01
No KDC Certificate in MY store
KDC certificates: Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)
„certutil -dcinfo schlägt fehl mit Fehlermeldung "KDC certificates: Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)"“ weiterlesen

Die Veröffentlichung einer Zertifikatsperrliste (CRL) schlägt fehl mit Fehlermeldung "Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)"

Folgendes Szenario angenommen:

  • Man erstellt eine neue Sperrliste auf der Zertifizierungsstelle.
  • Die Zertifizierungsstelle ist konfiguriert, Sperrlisten in einen Netzwerkpfad zu veröffentlichen.
  • Die Veröffentlichung schlägt mit folgender Fehlermeldung fehl:
Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
„Die Veröffentlichung einer Zertifikatsperrliste (CRL) schlägt fehl mit Fehlermeldung "Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)"“ weiterlesen

Die Veröffentlichung einer Zertifikatsperrliste (CRL) schlägt fehl mit Fehlermeldung "The directory name is invalid. 0x8007010b (WIN32/HTTP: 267 ERROR_DIRECTORY)"

Folgendes Szenario angenommen:

  • Man erstellt eine neue Sperrliste auf der Zertifizierungsstelle.
  • Die Veröffentlichung schlägt mit folgender Fehlermeldung fehl:
The directory name is invalid. 0x8007010b (WIN32/HTTP: 267 ERROR_DIRECTORY)
„Die Veröffentlichung einer Zertifikatsperrliste (CRL) schlägt fehl mit Fehlermeldung "The directory name is invalid. 0x8007010b (WIN32/HTTP: 267 ERROR_DIRECTORY)"“ weiterlesen

Die manuelle Veröffentlichung einer Zertifikatsperrliste (CRL) ins Active Directory schlägt fehl mit Fehlermeldung 0x8007202b (WIN32: 8235 ERROR_DS_REFERRAL)

Folgendes Szenario angenommen:

  • Es wurde eine Offline Root Zertifizierungsstelle installiert. Der Server, auf welchem die Zertifizierungsstelle installiert ist, ist kein Domänenmitglied.
  • Diese ist für die Veröffentlichungen von Sperrlisten im Active Directory konfiguriert.
  • Die Sperrlisten werden mittels certutil -dspublish ins Active Directory hochgeladen.
  • Der Vorgang schlägt fehl mit der folgenden Fehlermeldung:
certutil -dspublish "ADCS Labor Root CA.crl"
 ldap:///CN=ADCS Labor Root CA,CN=ADCS Labor Root CA,CN=cdp,CN=Public Key Services,CN=Services,DC=UnavailableConfigDN?certificateRevocationList?base?objectClass=cRLDistributionPoint?certificateRevocationList
 ldap: 0xa: LDAP_REFERRAL: 0000202B: RefErr: DSID-03100835, data 0, 1 access points
         ref 1: 'unavailableconfigdn'
 CertUtil: -dsPublish command FAILED: 0x8007202b (WIN32: 8235 ERROR_DS_REFERRAL)
 CertUtil: A referral was returned from the server.
„Die manuelle Veröffentlichung einer Zertifikatsperrliste (CRL) ins Active Directory schlägt fehl mit Fehlermeldung 0x8007202b (WIN32: 8235 ERROR_DS_REFERRAL)“ weiterlesen

Manuelle Beantragung eines Domänencontroller-Zertifikats

Es gibt Fälle, in welchen man Domain Controller Zertifikate nicht von einer Zertifizierungsstelle in der eigenen Active Directory Gesamtstruktur beziehen kann oder möchte.

In diesem Fall ist die Verwendung von Zertifikatvorlagen nicht möglich, und man muss manuell einen Zertifikatantrag (Certificate Signing Request, CSR erstellen).

„Manuelle Beantragung eines Domänencontroller-Zertifikats“ weiterlesen

Verwenden von Microsoft Network Load Balancing (NLB) für die Sperrlistenverteilungspunkte (CDP), den Zugriff auf Stelleninformationen (AIA) und Onlineresponder (OCSP)

Es ist allgemein eine gute Idee, die Verfügbarkeit der Sperrlistenverteilpunkte (CRL Distribution Point, CDP), der Stelleninformationen (Authority Information Access, AIA) und falls vorhanden der Online Responder (OCSP) jederzeit sicherzustellen.

Der Zugriff auf die Revokierungs-Informationen ist sogar kritischer als auf die Zertifizierunsstelle selbst. Kann der Sperrstatus eines Zertifikats nicht geprüft werden, kann es (je nach Anwendung) sein, dass das Zertifikat nicht als vertrauenswürdig erachet wird, und der dazugehörige IT-Dienst nicht benutzt werden kann.

„Verwenden von Microsoft Network Load Balancing (NLB) für die Sperrlistenverteilungspunkte (CDP), den Zugriff auf Stelleninformationen (AIA) und Onlineresponder (OCSP)“ weiterlesen

Kombinieren des SMTP Exit Moduls mit einem lokalen SMTP-Server für erhöhte Ausfallsicherheit

Folgendes Szenario angenommen:

  • Die Zertifizierungsstelle ist nur Nutzung des SMTP Exit Moduls konfiguriert, um E-Mail-Benachrichtigungen über die Ereignisse auf der Zertifizierungsstelle zu versenden.
  • Der konfigurierte SMTP-Server ist nicht immer zuverlässig erreichbar, beispielsweise da er nicht hochverfügbar ausgelegt ist.
  • Bei einem Ausfall des SMTP-Servers wird die Zertifizierungsstelle nur noch sehr langsam arbeiten, da die E-Mail-Benachrichtigungen nicht zugestellt werden können. Unter Umständen wird der Zertifizierungsstellen-Dienst nicht mehr starten.
„Kombinieren des SMTP Exit Moduls mit einem lokalen SMTP-Server für erhöhte Ausfallsicherheit“ weiterlesen

Deaktivieren des SMTP Exit-Moduls einer Zertifizierungsstelle

Folgendes Szenario angenommen:

  • Die Zertifizierungsstelle ist nur Nutzung des SMTP Exit Moduls konfiguriert, um E-Mail Benachrichtigungen über die Ereignisse auf der Zertifizierungsstelle zu versenden.
  • Der konfigurierte SMTP-Server ist nicht erreichbar, beispielsweise aufgrund eines Ausfalls.

In diesem Fall kann das Exit Modul die E-Mail Benachrichtigungen nicht zustellen. Es läuft in einen Timeout, und die Zertifizierungsstelle wird nur noch sehr langsam arbeiten.

„Deaktivieren des SMTP Exit-Moduls einer Zertifizierungsstelle“ weiterlesen

Der Onlineresponder (OCSP) beantragt alle vier Stunden neue Signaturzertifikate

Folgendes Szenario angenommen:

  • Die Online Responder sind konfiguriert, Signaturzertifikate anhand einer Zertifikatvorlage von einer Active Directory integrierten Zertifizierungsstelle zu beantragen.
  • Die Online Responder beantragen in regelmäßigen Abständen (alle vier Stunden) ein neues Signaturzertifikat, obwohl das bestehende Zertifikat noch ausreichend lange gültig ist.
„Der Onlineresponder (OCSP) beantragt alle vier Stunden neue Signaturzertifikate“ weiterlesen

Übertragen der Zertifikatsperrlisten auf die Sperrlistenverteilpunkte mit SSH Secure Copy (SCP) mit Authentifizierung über öffentliche Schlüssel (Windows Server 2019)

Wenn sich die Server, welche die Sperrlistenverteilpunkte bereitstellen, beispielsweise in einer Demilitarisierten Zone (DMZ) befinden, oder aus anderen Gründen kein Datentransfer via Server Message Block (SMB) möglich ist, können die Sperrlisten mittels SSH Secure Copy (SCP) auf die Verteilpunkte übertragen werden. Seit Windows Server 2019 gibt es die OpenSSH Server und Client-Pakete. Nachfolgend wird die Einrichtung mit Authentifizierung über öffentliche Schlüssel (Public Key Authentication) anstelle von Passwörtern exemplarisch beschrieben

„Übertragen der Zertifikatsperrlisten auf die Sperrlistenverteilpunkte mit SSH Secure Copy (SCP) mit Authentifizierung über öffentliche Schlüssel (Windows Server 2019)“ weiterlesen
de_DEDeutsch
en_USEnglish de_DEDeutsch