Die Beantragung von Zertifikaten mit auf elliptischen Kurven basierenden Schlüsseln schlägt fehl, wenn der Microsoft Platform Crypto Provider verwendet wird

Folgendes Szenario angenommen:

Error: The requested operation is not supported. 0x80090029 (-2146893783 NTE_NOT_SUPPORTED)
„Die Beantragung von Zertifikaten mit auf elliptischen Kurven basierenden Schlüsseln schlägt fehl, wenn der Microsoft Platform Crypto Provider verwendet wird“ weiterlesen

Microsoft Outlook: Signierte E-Mail Nachrichten werden vom empfangenden Mailserver abgelehnt mit Fehlermeldung "Invalid S/MIME encrypted message."

Folgendes Szenario angenommen:

  • Ein Benutzer versendet eine mit Secure/Multipurpose Internet Mail Extensions (S/MIME) signierte E-Mail Nachricht.
  • Der Absender verwendet Microsoft Outlook für Macintosh.
  • Der Empfangende Mailserver lehnt die Nachricht ab und sendet einen Non-Delivery Report (NDR) zurück:
550 5.6.0 M2MCVT.StorageError.Exception: ConversionFailedException - , Content conversion: Invalid S/MIME encrypted message.; storage error in content conversion.
„Microsoft Outlook: Signierte E-Mail Nachrichten werden vom empfangenden Mailserver abgelehnt mit Fehlermeldung "Invalid S/MIME encrypted message."“ weiterlesen

Was passiert, wenn ein Benutzer mehrere Zertifikate beantragt hat?

Ich bin neulich auf das Phänomen getroffen, dass aufgrund einer fehlerhaften Beantragungslogik mehrere Benutzer in regelmäßigen Anständen neue Zertifikatanforderungen gestellt hatten.

Die Zertifikatvorlage war konfiguriert, eingehende Zertifikatanforderungen durch einen Zertifikatmanager freigeben zu lassen, d.h. es erfolgte keine automatische Ausstellung der Zertifkate. Die Zertifikatanforderungen sollten durch einen eigenen Code überprüft und anschließend freigegeben werden.

Man würde nun erwarten, dass (da alle Zertifikatanträge letztendlich genehmigt würden) die Benutzer nun mehrere Zertifikate gleichen Typs in ihrem Zertifikatspeicher (und den Anwendungen, welche diesen nutzen) vorfinden würden. Dem war aber nicht der Fall.

„Was passiert, wenn ein Benutzer mehrere Zertifikate beantragt hat?“ weiterlesen

Die Erzeugung einer Zertifikatvorlage ist nicht möglich. Fehlermeldung "The following template name has already been used"

Folgendes Szenario angenommen:

  • Es soll eine neue Zertifikatvorlage angelegt werden.
  • Die Erstellung schlägt mit folgender Fehlermeldung fehl:
The following template name has already been used: ADCSLaborBenutzerTest. Enter a unique template name.
„Die Erzeugung einer Zertifikatvorlage ist nicht möglich. Fehlermeldung "The following template name has already been used"“ weiterlesen

Ursachenforschung: Snipping Tool und weitere Komponenten in Windows 11 wegen abgelaufenem Zertifikat nicht mehr benutzbar

Heute ging durch viele Medien, dass einige Apps und Komponenten im erst jüngst erschienenen Windows 11 seit dem 01.11.2021 nicht mehr funktionieren und die Ursache hierfür ein am 31.10.2021 abgelaufenes Zertifikat sei. Mittlerweile hat Microsoft in einem Blogpost darauf hingewiesen und auch einen Patch für einige betroffene Komponenten veröffentlicht.

Leider gab es aber in keiner der verfügbaren Quellen detaillierte Informationen dafüber, was genau das Problem war. Gehen wir der Sache somit selbst auf den Grund.

„Ursachenforschung: Snipping Tool und weitere Komponenten in Windows 11 wegen abgelaufenem Zertifikat nicht mehr benutzbar“ weiterlesen

Die manuelle Zuweisung eines Remotedesktop-Zertifikats schlägt fehl mit Fehlermeldung "Invalid parameter"

Folgendes Szenario angenommen:

Set-WMIInstance : Invalid parameter
 At line:1 char:1
 Set-WMIInstance -path $TerminalServicesConfig.__path -argument @{SSLC …
 ~~~~~~~~~~~~~~~~~ CategoryInfo          : InvalidOperation: (:) [Set-WmiInstance], ManagementException
 FullyQualifiedErrorId : SetWMIManagementException,Microsoft.PowerShell.Commands.SetWmiInstance 
„Die manuelle Zuweisung eines Remotedesktop-Zertifikats schlägt fehl mit Fehlermeldung "Invalid parameter"“ weiterlesen

Bei der Wiederherstellung einer Zertifizierungsstelle ist das Zertifizierungsstellen-Zertifikat bei der Rollen-Installation nicht auswählbar

Folgendes Szenario angenommen:

„Bei der Wiederherstellung einer Zertifizierungsstelle ist das Zertifizierungsstellen-Zertifikat bei der Rollen-Installation nicht auswählbar“ weiterlesen

Die Installation eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung "Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)"

Folgendes Szenario angenommen:

  • Es wird eine neue Zertifizierungsstelle installiert.
  • Nach der Konfiguration der Zertifizierungsstellen-Rolle und Ausstellung des Zertifizierungsstellen-Zertifikats soll dieses nun auf der Zertifizierungsstelle installiert werden.
  • Es wird ein Hardware Security Modul (HSM) zum Schutz des privaten Schlüssels des Zertifizierungsstellen-Zertifikats verwendet.
  • Die Installation des Zertifizierungsstellen-Zertifikats schlägt mit folgender Fehlermeldung fehl:
An error was detected while configuring Active Directory Certificate Services.
The Active Directory Certificate Services Setup Wizard will need to be rerun to complete the configuration.
The new certificate public key does not match the current outstanding request.
The wrong request may have been used to generate the new certificate:  Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)
„Die Installation eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung "Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)"“ weiterlesen

Die Wiederherstellung der Verbindung zum privaten Schlüssel schlägt fehl mit Fehlermeldung "Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)"

Folgendes Szenario angenommen:

Cannot find the certificate and private key for decryption.
CertUtil: -repairstore command FAILED: 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)
CertUtil: Cannot find object or property.
„Die Wiederherstellung der Verbindung zum privaten Schlüssel schlägt fehl mit Fehlermeldung "Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)"“ weiterlesen

Die Installation der Standard-Zertifikatvorlagen schlägt fehl mit Fehlermeldung "This security ID may not be assigned as the owner of this object."

Folgendes Szenario angenommen:

  • Es soll erstmalig eine ins Active Directory integrierte Zertifizierungsstelle (Enterprise Certification Authority) im Netzwerk installiert werden.
  • Die Rechte für die Installation der Zertifizierungsstelle wurden aus Sicherheitsgründen auf eine separate Sicherheitsgruppe oder ein separates Konto delegiert, sodass keine Anmeldung als Enterprise Administrator erforderlich ist. Andersherum formuliert: Der verwendete Benutzer ist nicht Mitglied der Gruppe "Enterprise Administrators" in der Active Directory Gesamtstruktur.
  • Da es sich um die erste Zertifizierungsstelle im Netzwerk handelt, sind noch keine Standard-Zertifikatvorlagen im Active Directory installiert. Beim Öffnen der Verwaltungskonsole für Zertifikatvorlagen (certtmpl.msc) wird man aufgefordert, diese zu installieren.
  • Die Installation schlägt mit folgender Fehlermeldung fehl:
Windows could not install the new certificate templates. This security ID may not be assigned as the owner of this object.
„Die Installation der Standard-Zertifikatvorlagen schlägt fehl mit Fehlermeldung "This security ID may not be assigned as the owner of this object."“ weiterlesen

Codesignaturen von Appx Paketen per SignTool.exe schlagen fehl mit Fehlercode 0x8007000b (ERROR_BAD_FORMAT)

Folgendes Szenario angenommen:

  • Es soll ein Appx Paket signiert werden.
  • Hierfür wird die SignTool.exe verwendet.
  • Das verwendete Codesignaturzertifikat wurde jüngst erneuert.
  • Der Signaturvorgang mit dem neuem Codesignaturzertifikat schlägt mit folgender Fehlermeldung fehl:
"Error: SignerSign() failed." (-2147024885/0x8007000b) 
„Codesignaturen von Appx Paketen per SignTool.exe schlagen fehl mit Fehlercode 0x8007000b (ERROR_BAD_FORMAT)“ weiterlesen

Keine Anmeldung per Remotedesktop von außerhalb der Active Directory Gesamtstruktur möglich

Folgendes Szenario angenommen:

  • Man möchte eine Remotedesktopverbindung herstellen.
  • Der Clientcomputer, von welchem aus die Verbindung hergestellt wird, ist nicht Mitglied der gleichen Active Directory Gesamtstruktur wie der Zielcomputer.
  • Die Verbindung schlägt mit folgender Fehlermeldung fehl:
A user account restriction (for example, a time-of-day restriction) is preventing you from logging on. For assistance, contact your system administrator or technical support.
„Keine Anmeldung per Remotedesktop von außerhalb der Active Directory Gesamtstruktur möglich“ weiterlesen

Die Anmeldung an der Administrations-Webseite für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit HTTP Fehlercode 401 "Unauthorized: Access is denied due to invalid credentials."

Folgendes Szenario angenommen:

  • Ein NDES Server ist im Netzwerk konfiguriert.
  • Bei Aufruf der NDES-Administrations-Webseite (certsrv/mscep_admin) ist nicht möglich.
  • Nach mehreren erfolglosen Anmeldeversuchen wird folgende HTTP-Fehlermeldung zurückgegeben:
401 - Unauthorized: Access is denied due to invalid credentials.
You do not have permission to view this directory or page using the credentials that you supplied.
„Die Anmeldung an der Administrations-Webseite für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit HTTP Fehlercode 401 "Unauthorized: Access is denied due to invalid credentials."“ weiterlesen

Die Beantragung von Remotedesktop-Zertifikaten schlägt fehl mit Fehlermeldung "The permissions on the certificate template do not allow the current user to enroll for this type of certificate."

Folgendes Szenario angenommen:

The RD Session Host server cannot install a new template-based certificate to be used for Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) authentication and encryption. The following error occurred: The permissions on the certificate template do not allow the current user to enroll for this type of certificate.
„Die Beantragung von Remotedesktop-Zertifikaten schlägt fehl mit Fehlermeldung "The permissions on the certificate template do not allow the current user to enroll for this type of certificate."“ weiterlesen

Die Beantragung von Remotedesktop-Zertifikaten schlägt fehl mit Fehlermeldung "The requested certificate template is not supported by this CA."

Folgendes Szenario angenommen:

The RD Session Host server cannot install a new template-based certificate to be used for Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) authentication and encryption. The following error occurred: The requested certificate template is not supported by this CA.
„Die Beantragung von Remotedesktop-Zertifikaten schlägt fehl mit Fehlermeldung "The requested certificate template is not supported by this CA."“ weiterlesen