Codesignaturen von Appx Paketen per SignTool.exe schlagen fehl mit Fehlercode 0x8007000b (ERROR_BAD_FORMAT)

Folgendes Szenario angenommen:

  • Es soll ein Appx Paket signiert werden.
  • Hierfür wird die SignTool.exe verwendet.
  • Das verwendete Codesignaturzertifikat wurde jüngst erneuert.
  • Der Signaturvorgang mit dem neuem Codesignaturzertifikat schlägt mit folgender Fehlermeldung fehl:
"Error: SignerSign() failed." (-2147024885/0x8007000b) 
„Codesignaturen von Appx Paketen per SignTool.exe schlagen fehl mit Fehlercode 0x8007000b (ERROR_BAD_FORMAT)“ weiterlesen

Zertifikate mit verkürzter Gültigkeitsdauer ausstellen

Manchmal ist es erforderlich, Zertifikate mit einer kürzeren Gültigkeitsdauer auszustellen, als sie in der Zertifikatvorlage konfiguriert ist. Vielleicht möchte man deshalb nicht gleich die Zertifikatvorlage umkonfigurieren.

„Zertifikate mit verkürzter Gültigkeitsdauer ausstellen“ weiterlesen

Stammstellen-Zertifikate werden auf Domänenmitgliedern in den Zertifikatspeicher für Zwischenzertifizierungsstellen importiert

Manch einem wird aufgefallen sein, dass der Zertifikatspeicher für Zwischenzertifizierungsstellen üblicherweise auch Zertifikate für Stammzertifizierungsstellen beinhaltet.

In der Regel ist dieses Verhalten unkritisch. In bestimmten Fällen kann dies allerdings auch Probleme mit Anwendungen hervorrufen.

„Stammstellen-Zertifikate werden auf Domänenmitgliedern in den Zertifikatspeicher für Zwischenzertifizierungsstellen importiert“ weiterlesen

Grundlagen: Die Key Usage Zertifikaterweiterung

Zertifikaterweiterungen wurden mit der Version 3 des X.509 Standards eingeführt. Die Key Usage Erweiterung ist eine optionale Zertifikaterweiterung, die im RFC 5280 definiert ist und dazu dient, die erlaubten Verwendungszwecke für einen Schlüssel zu begrenzen.

„Grundlagen: Die Key Usage Zertifikaterweiterung“ weiterlesen

Eine Zuordnung von einem Benutzerzertifikat zum dazugehörigen Computer herstellen

Folgendes Szenario angenommen:

  • Ein Computer eines Benutzers wird entwendet oder ist mit einer Malware befallen.
  • Die Integrität von auf dem Computer befindlichen Zertifikaten kann nicht mehr gewährleistet werden.
  • Die Zertifikate der/des Benutzers, welche auf diesem Computer beantragt wurden, müssen widerrufen werden.
  • Man möchte allerdings vermeiden, alle Zertifikate eines Benutzers zu widerrufen.
  • Es muss somit eine Verbindung zwischen den Zertifikaten des Benutzers und des Computers hergestellt werden, auf welchem diese beantragt wurden.

Wurden die Zertifikate per Autoenrollment beantragt, können wir uns zunutze machen, dass ein entsprechendes Attribut Teil der ursprünglichen Zertifikatanforderung war, und dass die Zertifikatanforderung zusammen mit dem Zertifikat in der Zertifizierungsstellen-Datenbank gespeichert wird.

„Eine Zuordnung von einem Benutzerzertifikat zum dazugehörigen Computer herstellen“ weiterlesen

Keine Anmeldung per Remotedesktop von außerhalb der Active Directory Gesamtstruktur möglich

Folgendes Szenario angenommen:

  • Man möchte eine Remotedesktopverbindung herstellen.
  • Der Clientcomputer, von welchem aus die Verbindung hergestellt wird, ist nicht Mitglied der gleichen Active Directory Gesamtstruktur wie der Zielcomputer.
  • Die Verbindung schlägt mit folgender Fehlermeldung fehl:
A user account restriction (for example, a time-of-day restriction) is preventing you from logging on. For assistance, contact your system administrator or technical support.
„Keine Anmeldung per Remotedesktop von außerhalb der Active Directory Gesamtstruktur möglich“ weiterlesen

Die Anmeldung an der Administrations-Webseite für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit HTTP Fehlercode 401 "Unauthorized: Access is denied due to invalid credentials."

Folgendes Szenario angenommen:

  • Ein NDES Server ist im Netzwerk konfiguriert.
  • Bei Aufruf der NDES-Administrations-Webseite (certsrv/mscep_admin) ist nicht möglich.
  • Nach mehreren erfolglosen Anmeldeversuchen wird folgende HTTP-Fehlermeldung zurückgegeben:
401 - Unauthorized: Access is denied due to invalid credentials.
You do not have permission to view this directory or page using the credentials that you supplied.
„Die Anmeldung an der Administrations-Webseite für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit HTTP Fehlercode 401 "Unauthorized: Access is denied due to invalid credentials."“ weiterlesen

Elektronischer Datenaustausch mit der Deutschen Rentenversicherung

Jüngst habe ich zusammen mit der B-I-T GmbH Informationen und Prozesse aus Hannover daran gearbeitet, den elektronischen Datenaustausch mit den gesetzlichen Krankenkassen und der Rentenversicherung aus einer Anwendung heraus zu realisieren.

Hierbei wird eine Kombination aus authentifizierter Datenübertragung von sowohl signierten als auch verschlüsselten Nachrichten verwendet. In all diesen Fällen kommen PKI-Technologien zum Einsatz.

Das verwendete Nachrichtenformat ist hier dokumentiert.

„Elektronischer Datenaustausch mit der Deutschen Rentenversicherung“ weiterlesen

Wiederherstellen von Zertifikaten aus den Daten des SMTP Exit Moduls

Stellt man eine Zertifizierungsstelle nach einem Katastrophenfall aus einer Sicherung (Backup) wieder her, wird man vermutlich feststellen, dass Zertifikate in dem Zeitraum zwischen der letzten Sicherung und dem Ausfall des Systems mit entsprechendem Datenverlust ausgestellt worden.

Diese Zertifikate sind nun nicht in der wiederhergestellten Zertifizierungsstellen-Datenbank gespeichert, somit können sie im Bedarfsfall auch nicht wiederhergestellt werden.

Hat man das SMTP Exit Modul im Einsatz, kann man aus den versendeten E-Mails wenigstens die Seriennummern der Zertifikate ermitteln und diese widerrufen.

„Wiederherstellen von Zertifikaten aus den Daten des SMTP Exit Moduls“ weiterlesen

Übersicht über die für die PKI relevanten Ereignisse des Remotedesktop-Sitzungshosts

Nachfolgend eine Übersicht über die für die Public Key Infrastruktur relevanten vom Remotedesktop-Sitzungshost erzeugten Ereignisse in der Windows-Ereignisanzeige.

„Übersicht über die für die PKI relevanten Ereignisse des Remotedesktop-Sitzungshosts“ weiterlesen

Details zum Ereignis mit ID 1073 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager

Ereignisquelle:Microsoft-Windows-TerminalServices-RemoteConnectionManager
Ereignis-ID:1073 (0xC0000431)
Ereignisprotokoll:System
Ereignistyp:
Ereignistext (englisch):The msPKI-Cert-Template-OID column for the template-based certificate %1 returned an unknown data type %2.
Ereignistext (deutsch):Die Spalte "msPKI-Cert-Template-OID" für das vorlagenbasierte Zertifikat %1 hat den unbekannten Datentyp %2 zurückgegeben.
„Details zum Ereignis mit ID 1073 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager“ weiterlesen

Details zum Ereignis mit ID 1072 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager

Ereignisquelle:Microsoft-Windows-TerminalServices-RemoteConnectionManager
Ereignis-ID:1072 (0xC0000430)
Ereignisprotokoll:System
Ereignistyp:
Ereignistext (englisch):The cn column for the template-based certificate %1 returned an unknown data type %2.
Ereignistext (deutsch):Die Spalte "cn" für das vorlagenbasierte Zertifikat %1 hat den unbekannten Datentyp %2 zurückgegeben.
„Details zum Ereignis mit ID 1072 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager“ weiterlesen

Details zum Ereignis mit ID 1065 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager

Ereignisquelle:Microsoft-Windows-TerminalServices-RemoteConnectionManager
Ereignis-ID:1065 (0xC0000429)
Ereignisprotokoll:System
Ereignistyp:Fehler
Ereignistext (englisch):The template-based certificate that is being used by the RD Session Host server for Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) authentication and encryption has expired and cannot be replaced by the RD Session Host server. The following error occurred: %1.
Ereignistext (deutsch):Das vorlagenbasierte Zertifikat, das vom Remotedesktop-Sitzungshostserver für Authentifizierung und Verschlüsselung mithilfe von Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) verwendet wird, ist abgelaufen und kann nicht vom Remotedesktop-Sitzungshostserver ersetzt werden. Fehler: %1.
„Details zum Ereignis mit ID 1065 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager“ weiterlesen

Details zum Ereignis mit ID 1064 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager

Ereignisquelle:Microsoft-Windows-TerminalServices-RemoteConnectionManager
Ereignis-ID:1064 (0xC0000428)
Ereignisprotokoll:System
Ereignistyp:Fehler
Ereignistext (englisch):The RD Session Host server cannot install a new template-based certificate to be used for Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) authentication and encryption. The following error occured: %1.
Ereignistext (deutsch):Der Remotedesktop-Sitzungshostserver kann kein neues vorlagenbasiertes Zertifikat installieren, das für Authentifizierung und Verschlüsselung mithilfe von Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) verwendet werden soll. Fehler: %1.
„Details zum Ereignis mit ID 1064 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager“ weiterlesen

Details zum Ereignis mit ID 1063 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager

Ereignisquelle:Microsoft-Windows-TerminalServices-RemoteConnectionManager
Ereignis-ID:1063 (0xC0000427)
Ereignisprotokoll:System
Ereignistyp:Information
Ereignistext (englisch):A new template-based certificate to be used by the RD Session Host server for Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) authentication and encryption has been installed. The name for this certificate is %1. The SHA1 hash of the certificate is provided in the event data.
Ereignistext (deutsch):Es wurde ein neues vorlagenbasierten Zertifikat installiert, das vom Remotedesktop-Sitzungshostserver für die Authentifizierung und Verschlüsselung mithilfe von Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) verwendet werden soll. Der Name dieses Zertifikats lautet "%1". Der SHA1-Hashwert des Zertifikats wird in den Ereignisdaten bereitgestellt.
„Details zum Ereignis mit ID 1063 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager“ weiterlesen