Es wird Zeit: Migrieren der PKI Komponenten von Windows Server 2012 auf ein neues Betriebssystem

Zum Jahreswechsel ein Hinweis an alle Betreiber einer Microsoft Zertifizierungsstelle und angeschlossener Dienste:

Das Ende der Produktunterstüzung von Microsoft für Windows Server 2012 und 2012 R2 rückt langsam näher, es ist der 10. Oktober 2023.

Es wird somit Zeit, den Umzug auf ein neues Betriebssystem vorzubereiten.

„Es wird Zeit: Migrieren der PKI Komponenten von Windows Server 2012 auf ein neues Betriebssystem“ weiterlesen

Ursachenforschung: Snipping Tool und weitere Komponenten in Windows 11 wegen abgelaufenem Zertifikat nicht mehr benutzbar

Heute ging durch viele Medien, dass einige Apps und Komponenten im erst jüngst erschienenen Windows 11 seit dem 01.11.2021 nicht mehr funktionieren und die Ursache hierfür ein am 31.10.2021 abgelaufenes Zertifikat sei. Mittlerweile hat Microsoft in einem Blogpost darauf hingewiesen und auch einen Patch für einige betroffene Komponenten veröffentlicht.

Leider gab es aber in keiner der verfügbaren Quellen detaillierte Informationen dafüber, was genau das Problem war. Gehen wir der Sache somit selbst auf den Grund.

„Ursachenforschung: Snipping Tool und weitere Komponenten in Windows 11 wegen abgelaufenem Zertifikat nicht mehr benutzbar“ weiterlesen

Grenzen der Microsoft Active Directory Certificate Services

Die Active Directory Certificate Services bestehen (wenn auch unter anderem Namen) in ihren Grundzügen seit Windows NT 4.0. Die heutzutage verwendete auf Active Directory besierende Architektur wurde mit Windows 2000 Server eingeführt. Die AD CS sind sehr gut in das Windows-Ökosystem integriert und erfreuen sich weiterhin weltweit großer Beliebtheit in Unternehmen und Behörden jeglicher Größenordnung.

Gerne wird auf die vielen Möglichkeiten hingewiesen, welche die Active Directory Certificate Services bieten. Selten wird allerdings darauf verwiesen, was mit ihnen nicht möglich ist. Das Produkt stößt nämlich mittlerweile an vielen Stellen auch an seine Grenzen.

Welche das sind, soll nachfolgend näher ausgeführt werden, um besser entscheiden zu können, ob die AD CS für geplante Vorhaben die richtige Lösung sein können.

„Grenzen der Microsoft Active Directory Certificate Services“ weiterlesen

SignTool Installation ohne Installation des Windows Software Development Kit (SDK)

Eine Möglichkeit zur Durchführung von Codesignaturen ist die Verwendung des Kommandozeilenwerkzeugs SignTool. Dieses ist Bestandteil des Windows 10 Software Development Kit (SDK).

Möchte man das Tool auf einem System einsetzen, ohne Visual Studio oder das Windows SDK installiern zu müssen, kann wie folgt vorgegangen werden.

„SignTool Installation ohne Installation des Windows Software Development Kit (SDK)“ weiterlesen

Was ist bei der Anwendungen der Microsoft Security Baselines zu beachten?

Im Rahmen von Härtungsmaßnahmen bietet es sich an, die von Microsoft herausgegebenen Microsoft Security Baselines auf die eigene Serverlandschaft anzuwenden.

Dies wird zwangsläufig Auswirkungen auf die PKI-Komponenten haben. Nachfolgend eine Übersicht über die zu erwartenden Auswirkungen und Gegenmaßnahmen.

„Was ist bei der Anwendungen der Microsoft Security Baselines zu beachten?“ weiterlesen

In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2012 R2 oder 2016 zu Windows Server 2019

Spätestens im Rahmen des Endes der Produkt-Unterstützung durch den Hersteller (Microsoft) stellt sich die Frage, ob man die Zertifizierungsstelle durch Migration auf einen anderen Server auf ein aktuelles Betriebssystem bringt, oder ein In-Place Upgrade vornimmt. Anbei wird letzterer Vorgang beschrieben.

„In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2012 R2 oder 2016 zu Windows Server 2019“ weiterlesen

In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2012 SP2 oder 2012 R2 zu Windows Server 2016

Spätestens im Rahmen des Endes der Produkt-Unterstützung durch den Hersteller (Microsoft) stellt sich die Frage, ob man die Zertifizierungsstelle durch Migration auf einen anderen Server auf ein aktuelles Betriebssystem bringt, oder ein In-Place Upgrade vornimmt. Anbei wird letzterer Vorgang beschrieben.

„In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2012 SP2 oder 2012 R2 zu Windows Server 2016“ weiterlesen

In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 SP2 zu Windows Server 2008 R2

Spätestens im Rahmen des Endes der Produkt-Unterstützung durch den Hersteller (Microsoft) stellt sich die Frage, ob man die Zertifizierungsstelle durch Migration auf einen anderen Server auf ein aktuelles Betriebssystem bringt, oder ein In-Place Upgrade vornimmt. Anbei wird letzterer Vorgang beschrieben.

„In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 SP2 zu Windows Server 2008 R2“ weiterlesen

In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 SP2 zu Windows Server 2012

Spätestens im Rahmen des Endes der Produkt-Unterstützung durch den Hersteller (Microsoft) stellt sich die Frage, ob man die Zertifizierungsstelle durch Migration auf einen anderen Server auf ein aktuelles Betriebssystem bringt, oder ein In-Place Upgrade vornimmt. Anbei wird letzterer Vorgang beschrieben.

„In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 SP2 zu Windows Server 2012“ weiterlesen

In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 R2 zu Windows Server 2012 R2

Spätestens im Rahmen des Endes der Produkt-Unterstützung durch den Hersteller (Microsoft) stellt sich die Frage, ob man die Zertifizierungsstelle durch Migration auf einen anderen Server auf ein aktuelles Betriebssystem bringt, oder ein In-Place Upgrade vornimmt. Anbei wird letzterer Vorgang beschrieben.

„In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 R2 zu Windows Server 2012 R2“ weiterlesen

Keine Remotedesktopverbindung mehr möglich nach In-Place Upgrade des Windows Server Betriebssystems

Folgendes Szenario angenommen:

  • Es wird ein In-Place Upgrade des Betriebssystems der Zertifizierungsstelle durchgeführt.
  • Nach dem Upgrade ich keine Anmeldung via Remotedesktop mehr möglich. Die Verbindung schlägt mit folgender Fehlermeldung fehl:
An authentication error has occurred.
The function requested is not supported.
Remote Computer: 192.168.1.149
This could be due to CredSSP encryption oracle remediation.
For more information, see https://go.microsoft.com/fwlink/?linkid=866660 

Zu deutsch:

Authentifizierungsfehler.
Die angeforderte Funktion wird nicht unterstützt.
Remotecomputer: 192.168.1.149
Ursache könnte eine CredSSP Encryption Oracle-Abwehr sein.
Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=866660 
„Keine Remotedesktopverbindung mehr möglich nach In-Place Upgrade des Windows Server Betriebssystems“ weiterlesen

Das SMTP Exit Modul funktioniert nicht auf Windows Server Core

Folgendes Szenario angenommen:

  • Es wird eine Zertifizierungsstelle auf Windows Server Core installiert.
  • Es wird das mit der Zertifizierungsstelle mitgelieferte SMTP Exit Modul konfiguriert.
  • Die Zertifizierungsstelle versendet jedoch keine E-Mails.
  • Im Ereignisprotokoll wird das Ereignis Nr. 46 mit folgender Fehlermeldung protokolliert:
The "Windows default" Exit Module "Initialize" method returned an error. Class not registered The returned status code is 0x80040154 (-2147221164). The Certification Authority was unable to initialize email messaging objects.
„Das SMTP Exit Modul funktioniert nicht auf Windows Server Core“ weiterlesen

Ende der Produkt-Unterstützung durch den Hersteller (Microsoft)

Jedes Windows Server Betriebssystem hat ein definiertes Enddatum, ab welchem es seitens des Herstellers keine Produktunterstützung mehr gibt. Auch Zertifizierungsstellen sind an dieses Datum gebunden, und sollten daher bereits vor Ablauf dieses Datums migriert werden.

„Ende der Produkt-Unterstützung durch den Hersteller (Microsoft)“ weiterlesen