| Ereignisquelle: | Microsoft-Windows-CertificateServicesClient-CertEnroll |
| Ereignis-ID: | 75 (0x825A004B) |
| Ereignisprotokoll: | Application |
| Ereignistyp: | Warning |
| Ereignistext (englisch): | Certificate enrollment for %1 failed in authentication to policy server %2 with ID %3 (%6). Authentication mechanism was %5 (Credential: %4) |
| Ereignistext (deutsch): | Fehler bei Zertifikatregistrierung für %1 bei der Authentifizierung für den Richtlinienserver %2 mit der ID %3 (%6). Verwendeter Authentifizierungsmechanismus %5 (Anmeldeinformationen: %4) |
Schlagwort: Autoenrollment
Details zum Ereignis mit ID 86 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll
| Ereignisquelle: | Microsoft-Windows-CertificateServicesClient-CertEnroll |
| Ereignis-ID: | 86 (0xC25A0056) |
| Ereignisprotokoll: | Application |
| Ereignistyp: | Error |
| Ereignistext (englisch): | SCEP Certificate enrollment initialization for %1 via %2 failed: %3 Method: %4 Stage: %5 %6 |
| Ereignistext (deutsch): | Fehler bei der Initialisierung der SCEP-Zertifikatregistrierung für %1 über %2: %3 Methode: %4 Phase: %5 %6 |
Details zum Ereignis mit ID 87 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll
| Ereignisquelle: | Microsoft-Windows-CertificateServicesClient-CertEnroll |
| Ereignis-ID: | 87 (0xC25A0057) |
| Ereignisprotokoll: | Application |
| Ereignistyp: | Error |
| Ereignistext (englisch): | SCEP Certificate enrollment for %1 via %2 failed: %3 Method: %4 Stage: %5 %6 |
| Ereignistext (deutsch): | Fehler bei der SCEP-Zertifikatregistrierung für %1 über %2: %3 Methode: %4 Phase: %5 %6 |
Es wird kein Zertifikat per Autoenrollment beantragt, wenn ein Benutzer per Virtual Private Network (VPN) verbunden ist
Folgendes Szenario angenommen:
- Ein Benutzer arbeitet remote über Virtual Private Network (VPN)
- Eigentlich sollte per Autoenrollment ein Zertifikat beantragt werden, dies erfolgt jedoch nicht
- Ein Verbindungstest (certutil -ping) zur Zertifizierungsstelle wirft folgende Fehlermeldung:
Server could not be reached: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE) -- (31ms) CertUtil: -ping command FAILED: 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE) CertUtil: The RPC server is unavailable.„Es wird kein Zertifikat per Autoenrollment beantragt, wenn ein Benutzer per Virtual Private Network (VPN) verbunden ist“ weiterlesen
Es werden regelmäßig neue Zertifikate über Autoenrollment beantragt
Folgendes Szenario angenommen:
- Es ist eine Zertifikatvorlage für die automatische Beantragung und Ausstellung (AutoEnrollment) konfiguriert.
- Benutzer oder Computer beantragen in regelmäßigen Abständen und lange vor dem definierten Erneuerungszeitraum neue Zertifikate.
Automatische Erneuerung manuell beantragter Zertifikate ohne Eingriff eines Zertifikatmanagers
Angenommen, man setzt einen Use Case für Zertifikate ein, bei denen die Benutzer die im Zertifikat enthaltene Identität in der Zertifikatanforderung angeben, und hierdurch ein manuelles Eingreifen der Zertifikatmanager erfolgen muss, stellt sich die Frage, wie bei Ablauf der Zertifikate oder Umzug der Zertifikatvorlage auf eine andere Zertifizierungsstelle vorgegangen werden kann, um Tickets beim Helpdesk und damit die entstehende Arbeit für die Zertifikatmanager auf ein Minimum reduzieren zu können.
„Automatische Erneuerung manuell beantragter Zertifikate ohne Eingriff eines Zertifikatmanagers“ weiterlesenDetails zum Ereignis mit ID 4 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll
| Ereignisquelle: | Microsoft-Windows-CertificateServicesClient-CertEnroll |
| Ereignis-ID: | 4 (0x425A0004) |
| Ereignisprotokoll: | Application |
| Ereignistyp: | Information |
| Ereignistext (englisch): | Certificate enrollment for %1 could not access local resources or retrieve %2 certificate template information (%3). Enrollment was not performed. |
| Ereignistext (deutsch): | Die Zertifikatregistrierung für %1 konnte nicht auf lokale Ressourcen zugreifen bzw Zertifikatvorlageninformationen für %2 abrufen (%3). Es wird keine Registrierung durchgeführt. |
Details zum Ereignis mit ID 13 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll
| Ereignisquelle: | Microsoft-Windows-CertificateServicesClient-CertEnroll |
| Ereignis-ID: | 13 (0xC25A000D) |
| Ereignisprotokoll: | Application |
| Ereignistyp: | Error |
| Ereignistext (englisch): | Certificate enrollment for %1 failed to enroll for a %2 certificate with request ID %4 from %3 (%5). |
| Ereignistext (deutsch): | Die Zertifikatregistrierung für %1 konnte sich nicht für ein Zertifikat %2 mit der Anforderungs-ID %4 von %3 (%5) registrieren. |
Details zum Ereignis mit ID 57 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll
| Ereignisquelle: | Microsoft-Windows-CertificateServicesClient-CertEnroll |
| Ereignis-ID: | 57 (0x825A0039) |
| Ereignisprotokoll: | Application |
| Ereignistyp: | Information, Warning und Error |
| Ereignistext (englisch): | The "%2" provider was not loaded because initialization failed. |
| Ereignistext (deutsch): | Der "%2"-Anbieter wurde aufgrund eines Initialisierungsfehlers nicht geladen. |
Details zum Ereignis mit ID 82 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll
| Ereignisquelle: | Microsoft-Windows-CertificateServicesClient-CertEnroll |
| Ereignis-ID: | 82 (0x825A0052) |
| Ereignisprotokoll: | Application |
| Ereignistyp: | Warning |
| Ereignistext (englisch): | Certificate enrollment for %1 failed in authentication to all urls for enrollment server associated with policy id: %2 (%4). Failed to enroll for template: %3 |
| Ereignistext (deutsch): | Fehler bei der Zertifikatregistrierung für %1 bei der Authentifizierung für alle URLs für den Registrierungsserver, der folgender Richtlinien-ID zugeordnet ist: %2 (%4). Fehler bei der Registrierung für Vorlage: %3 |
Planung von Zertifikat-Gültigkeit und Erneuerungs-Zeitraum von End-Entitäts-Zertifikaten mit Autoenrollment
Wird Autoenrollment verwendet, beantragen die Teilnehmer selbständig Zertifikate und erneuern diese auch selbständig.
Betreffend der Gültigkeit der Zertifikate und des Zeitraums für ihre automatische Erneuerung gibt es zwei Werte, die im Karteireiter "General" einer Zertifiikatvorlage konfiguriert werden können:
- Gültigkeitszeitraum (Validity period): Beschreibt die Gesamt-Gültigkeit des ausgestellten Zertifikats.
- Erneuerungszeitraum (Renewal period): Beschreibt, ab welchem Zeitfenster, rückwärts betrachtet vom Ablaufdatum des Zertifikats, die automatische Erneuerung erstmals versucht wird (z.B. 6 Wochen vor Ablauf).
Alle für eine Zertifikatvorlage ausgestellten Zertifikate automatisch von den Zertifikatinhabern erneuern lassen
Beim Betrieb einer Zertifizierungsstelle kann es vorkommen, dass alle ausgestellten Zertifikate für eine bestimmte Zertifikatvorlage erneuert werden müssen, beispielsweise aufgrund größerer Konfigurationsänderungen oder Wechsel der ausstellenden Zertifizierungsstelle. Nachfolgend wird ein Mechanismus beschrieben, mit dem dies automatisiert erreicht werden kann.
„Alle für eine Zertifikatvorlage ausgestellten Zertifikate automatisch von den Zertifikatinhabern erneuern lassen“ weiterlesenÜber Virtual Private Network (VPN) verbundene Clients erneuern Zertifikate nicht automatisch
Folgendes Szenario angenommen:
- Clientcomputer beziehen automatisch Zertifikate von einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority).
- Ablaufende Zertifikate werden automatisch erneuert, wenn die Clients sich im internen Netzwerk befinden.
- Ablaufende Zertifikate werden jedoch nicht automatisch erneuert, wenn die Clients über Virtual Private Network (VPN) verbunden sind.
- Dies kann dazu führen, dass Clients ihr Zertifikat nicht mehr rechtzeitig vor Ablauf erneuern und sich nicht mehr mit dem VPN verbinden können.
Grundlagen manuelle und automatische Zertifikatbeantragung über Lightweight Directory Access Protocol (LDAP) und Remote Procedure Call / Distributed Common Object Model (RPC/DCOM) mit dem MS-WCCE Protokoll
Nachfolgend wird der Prozess beschrieben, der im Hintergrund bei der manuellen oder automatischen Beantragung von Zertifikaten abläuft, um einen möglichst hohen Automatisierungsgrad zu erreichen.
„Grundlagen manuelle und automatische Zertifikatbeantragung über Lightweight Directory Access Protocol (LDAP) und Remote Procedure Call / Distributed Common Object Model (RPC/DCOM) mit dem MS-WCCE Protokoll“ weiterlesenManuelles Ausführen des Autoenrollment Prozesses
In der Standardeinstellung replizieren alle Domänenmitglieder durch den Autoenrollment Prozess automatisch das Public Key Services Objekt er Active Directory Gesamtstruktur. Die Auslöser hierfür sind:
- Bei Anmeldung des Benutzers (bei Computern, wenn sich das Computerkonto anmeldet, also beim Systemstart)
- Per Timer alle 8 Stunden.
- Bei einer Aktualisierung der Gruppenrichtlinien, vorausgesetzt, es gab eine Änderung.
Möchte man nicht darauf warten, bis der Autoenrollment automatisch angestoßen wird, kann man ihn auch manuell starten. Die verschiedenen Wege, den Autoenrollment Prozess auszuführen, werden nachfolgend beschrieben.
„Manuelles Ausführen des Autoenrollment Prozesses“ weiterlesen
Deutsch 
English