Grundlagen: Authentisierungsverfahren für die Internet Information Services (IIS)

Die Active Directory Certificate Services bieten eine Reihe von webbassierten Zusatz-Schnittstellen (Registrierungsdienst für Netzwerkgeräte (NDES), Zertifikatregistrierungs-Richtliniendienst (CEP), Zertifikatregistrierungs-Webdienst (CES), Zertifizierungsstellen-Webregistrierung (CAWE).

Die Microsoft Internet Information Services (IIS) sind also für eine Microsoft-PKI nahezu unentbehrlich. Jede der webbasierten Schnittstellen (und auch Eigenentwicklungen) bringen ihre ganz eigenen Herausforderungen in Hinsicht auf Authentisierungsverfahren und deren Implementierung.

Nachfolgender Beitrag soll ein wenig Klarheit in das Thema bringen.

„Grundlagen: Authentisierungsverfahren für die Internet Information Services (IIS)“ weiterlesen

Änderungen an der Zertifikatausstellung und an der zertifikatbasierten Anmeldung am Active Directory mit dem Patch für Windows Server vom 10. Mai 2022 (KB5014754)

Mit dem Patch vom 10. Mai 2022 versucht Microsoft, eine Sicherheitslücke im Active Directory zu schließen, in welcher die zertifikatbasierte Anmeldung (im Allgemeinen bekannt als PKINIT oder auch Smartcard Logon) zu schließen.

Das Update ändert sowohl das Verhalten der Zertifizierungsstelle als auch das Verhalten des Active Directory beim Verarbeiten von zertifikatbasierten Anmeldungen.

„Änderungen an der Zertifikatausstellung und an der zertifikatbasierten Anmeldung am Active Directory mit dem Patch für Windows Server vom 10. Mai 2022 (KB5014754)“ weiterlesen

Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit dem Fehlercode "WS_E_ENDPOINT_FAULT_RECEIVED"

Folgendes Szenario angenommen:

  • Es ist ein Certificate Enrollment Web Service (CES) im Netzwerk implementiert.
  • Es wird eine Zertifikatanforderung an den CES gesendet.
  • Die Beantragung des Zertifikats schlägt mit folgender Fehlermeldung fehl:
A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)
„Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit dem Fehlercode "WS_E_ENDPOINT_FAULT_RECEIVED"“ weiterlesen

Grundlagen und Risikobetrachtung Delegierungseinstellungen

Delegierung ist immer dann erforderlich, wenn es zwischen dem Anwender und dem eigentlichen Dienst einen Mittelsmann gibt. Im Fall der Zertifizierungsstellen-Webregistrierung wäre dies der Fall, wenn diese auf einem separaten Server installiert ist. Sie fungiert dann als Mittelsmann zwischen dem Antragsteller und der Zertifizierungsstelle.

„Grundlagen und Risikobetrachtung Delegierungseinstellungen“ weiterlesen

Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit HTTP Fehlercode 401 "Unauthorized: Access is denied due to invalid credentials."

Folgendes Szenario angenommen:

  • Im Netzwerk ist ein Server für die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) installiert.
  • Die Rolle ist auf einem separaten Server, nicht auf der Zertifizierungsstelle direkt installiert.
  • Ein Benutzer versucht, ein Zertifikat über die Zertifizierungsstellen-Webregistrierung zu beantragen oder eine vorhandene Zertifikatanforderung an die Zertifizierungsstelle zu übermitteln.
  • Die Anmeldung des Benutzers an der CAWE schlägt mit HTTP Code 401 "Unauthorized: Access is denied due to invalid credentials." fehl:
You do not have permission to view this directory or page using the credentials that you supplied.
„Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit HTTP Fehlercode 401 "Unauthorized: Access is denied due to invalid credentials."“ weiterlesen

Funktionstest durchführen für die Zertifizierungsstellen-Webregistrierung (CAWE)

Nach der Installation und Konfiguration der Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) ist es unerlässlich, dass die Komponente vor der Freigabe an die Benutzer ausgiebig getestet wird. Nachfolgend eine Anleitung für einen ausführlichen Funktionstest.

„Funktionstest durchführen für die Zertifizierungsstellen-Webregistrierung (CAWE)“ weiterlesen

Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Domänenkonto konfigurieren

Nachfolgend wird beschrieben, wie man die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) einrichten sodass der Dienst unter einem Domänenkonto läuft.

„Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Domänenkonto konfigurieren“ weiterlesen

Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit Fehlercode "ERROR_ACCESS_DENIED"

Folgendes Szenario angenommen:

  • Im Netzwerk ist ein Server für die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) installiert.
  • Die Rolle ist auf einem separaten Server, nicht auf der Zertifizierungsstelle direkt installiert.
  • Ein Benutzer versucht, ein Zertifikat über die Zertifizierungsstellen-Webregistrierung zu beantragen oder eine vorhandene Zertifikatanforderung an die Zertifizierungsstelle zu übermitteln.
  • Die Beantragung schlägt mit folgender Fehlermeldung fehl:
Your request failed. An error occurred while the server was processing your request. Contact your administrator for further assistance.

In den Details der Fehlermeldung findet sich folgender Hinweis:

CCertRequest::Submit: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
„Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit Fehlercode "ERROR_ACCESS_DENIED"“ weiterlesen

Benötigte Windows-Sicherheitsberechtigungen für die Zertifizierungsstellen-Webregistrierung (CAWE)

Angenommen, man implementiert das Active Directory-Verwaltungsebenenmodell (Administrative Tiering Model) von Microsoft, oder wendet vergleichbare Härtungsmaßnahmen auf seinen Servern an, hat dies Auswirkungen auf die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE).

„Benötigte Windows-Sicherheitsberechtigungen für die Zertifizierungsstellen-Webregistrierung (CAWE)“ weiterlesen

Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit Fehlercode "RPC_S_SERVER_UNAVAILABLE"

Folgendes Szenario angenommen:

  • Im Netzwerk ist ein Server für die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) installiert.
  • Die Rolle ist auf einem separaten Server, nicht auf der Zertifizierungsstelle direkt installiert.
  • Ein Benutzer versucht, ein Zertifikat über die Zertifizierungsstellen-Webregistrierung zu beantragen oder eine vorhandene Zertifikatanforderung an die Zertifizierungsstelle zu übermitteln.
  • Die Beantragung schlägt mit folgender Fehlermeldung fehl:
Your request failed. An error occurred while the server was processing your request. Contact your administrator for further assistance.

In den Details der Fehlermeldung findet sich folgender Hinweis:

CCertRequest::Submit: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
„Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit Fehlercode "RPC_S_SERVER_UNAVAILABLE"“ weiterlesen
de_DEDeutsch