Grenzen der Microsoft Active Directory Certificate Services

Die Active Directory Certificate Services bestehen (wenn auch unter anderem Namen) in ihren Grundzügen seit Windows NT 4.0. Die heutzutage verwendete auf Active Directory besierende Architektur wurde mit Windows 2000 Server eingeführt. Die AD CS sind sehr gut in das Windows-Ökosystem integriert und erfreuen sich weiterhin weltweit großer Beliebtheit in Unternehmen und Behörden jeglicher Größenordnung.

Gerne wird auf die vielen Möglichkeiten hingewiesen, welche die Active Directory Certificate Services bieten. Selten wird allerdings darauf verwiesen, was mit ihnen nicht möglich ist. Das Produkt stößt nämlich mittlerweile an vielen Stellen auch an seine Grenzen.

Welche das sind, soll nachfolgend näher ausgeführt werden, um besser entscheiden zu können, ob die AD CS für geplante Vorhaben die richtige Lösung sein können.

„Grenzen der Microsoft Active Directory Certificate Services“ weiterlesen

Die Deinstallation eines Windows-Features schlägt fehl mit Fehlermeldung "The service is configured to not accept any remote shell requests."

Folgendes Szenario angenommen:

  • Eine Windows-Rolle betreffend Active Directory Certificate Services (Zertifzierungsstelle, Registrierungsdienst für Netzwerkgeräte (NDES), Zertifizierungsstellen-Webregistrierung (CAWE), Zertifikatregistrierungs-Webdienste (CEP, CES) oder Onlineresponder (OCSP)) soll deinstalliert werden.
  • Die Deinstallation schlägt fehl mit folgender Fehlermeldung:
The status of the role services on the target machine cannot be determined. Please retry. The error is The WS-Management service cannot process the request. The service is configured to not accept any remote shell requests.
„Die Deinstallation eines Windows-Features schlägt fehl mit Fehlermeldung "The service is configured to not accept any remote shell requests."“ weiterlesen

Einordnung der ADCS-Komponenten in das administrative Schichtenmodell (Administrative Tiering Model)

Implementiert man neben den Active Directory Certificate Services auch das administrative Schichtenmodell (Administrative Tiering Model) für den Active Directory Verzeichnisdienst, stellt sich die Frage der Zuordnung der einzelnen PKI-Komponenten in dieses Modell, um eine zielgerichtete Sicherheitshärtung vornehmen zu können.

„Einordnung der ADCS-Komponenten in das administrative Schichtenmodell (Administrative Tiering Model)“ weiterlesen

Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit HTTP Fehlercode 401 "Unauthorized: Access is denied due to invalid credentials."

Folgendes Szenario angenommen:

  • Im Netzwerk ist ein Server für die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) installiert.
  • Die Rolle ist auf einem separaten Server, nicht auf der Zertifizierungsstelle direkt installiert.
  • Ein Benutzer versucht, ein Zertifikat über die Zertifizierungsstellen-Webregistrierung zu beantragen oder eine vorhandene Zertifikatanforderung an die Zertifizierungsstelle zu übermitteln.
  • Die Anmeldung des Benutzers an der CAWE schlägt mit HTTP Code 401 "Unauthorized: Access is denied due to invalid credentials." fehl:
You do not have permission to view this directory or page using the credentials that you supplied.
„Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit HTTP Fehlercode 401 "Unauthorized: Access is denied due to invalid credentials."“ weiterlesen

Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit HTTP Fehlercode 403 "Forbidden: Access is denied."

Folgendes Szenario angenommen:

  • Im Netzwerk ist ein Server für die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) installiert.
  • Die Rolle ist auf einem separaten Server, nicht auf der Zertifizierungsstelle direkt installiert.
  • Ein Benutzer versucht, ein Zertifikat über die Zertifizierungsstellen-Webregistrierung zu beantragen oder eine vorhandene Zertifikatanforderung an die Zertifizierungsstelle zu übermitteln.
  • Die Anmeldung des Benutzers an der CAWE schlägt mit HTTP Code 403 "Forbidden: Access is denied." fehl:
You do not have permission to view this directory or page using the credentials that you supplied.
„Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit HTTP Fehlercode 403 "Forbidden: Access is denied."“ weiterlesen

Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit Fehlermeldung "No certificate templates could be found.", oder die gewünschte Zertifikatvorlage wird nicht angezeigt

Folgendes Szenario angenommen:

  • Im Netzwerk ist ein Server für die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) installiert.
  • Die Rolle ist auf einem separaten Server, nicht auf der Zertifizierungsstelle direkt installiert.
  • Ein Benutzer versucht, eine vorhandene Zertifikatanforderung über die Zertifizierungsstellen-Webregistrierung an die Zertifizierungsstelle zu übermitteln.
  • Die gewünschte Zertifikatvorlage fehlt in der Liste der auswählbaren Zertifikatvorlagen, oder die Liste ist gänzlich leer.
  • Wenn die Liste leer ist, wird zusätzlich folgende Fehlermeldung ausgegeben:
No certificate templates could be found. You do not have permission to request a certificate from this CA, or an error occurred while accessing the Active Directory.
„Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit Fehlermeldung "No certificate templates could be found.", oder die gewünschte Zertifikatvorlage wird nicht angezeigt“ weiterlesen

Funktionstest durchführen für die Zertifizierungsstellen-Webregistrierung (CAWE)

Nach der Installation und Konfiguration der Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) ist es unerlässlich, dass die Komponente vor der Freigabe an die Benutzer ausgiebig getestet wird. Nachfolgend eine Anleitung für einen ausführlichen Funktionstest.

„Funktionstest durchführen für die Zertifizierungsstellen-Webregistrierung (CAWE)“ weiterlesen

Übersicht über die möglichen Delegierungseinstellungen für die Zertifizierungsstellen-Webregistrierung (CAWE)

Delegierung ist immer dann erforderlich, wenn es zwischen dem Anwender und dem eigentlichen Dienst einen Mittelsmann gibt. Im Fall der Zertifizierungsstellen-Webregistrierung wäre dies der Fall, wenn diese auf einem separaten Server installiert ist. Sie fungiert dann als Mittelsmann zwischen dem Antragsteller und der Zertifizierungsstelle.

Installiert man die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE), wird man sich in den meisten Fällen mit den verschiedenen Möglichkeiten für die Delegierungseinstellungen auseinandersetzen müssen. Nachfolgend eine Erklärung der verschiedenen Optionen mitsamt Beschreibung der Auswirkungen auf die Funktion der Zertifizierungsstellen-Webregistrierung.

„Übersicht über die möglichen Delegierungseinstellungen für die Zertifizierungsstellen-Webregistrierung (CAWE)“ weiterlesen

Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit HTTP Fehlercode 500 "Internal Server error"

Folgendes Szenario angenommen:

  • Im Netzwerk ist ein Server für die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) installiert.
  • Die Rolle ist auf einem separaten Server, nicht auf der Zertifizierungsstelle direkt installiert.
  • Ein Benutzer versucht, ein Zertifikat über die Zertifizierungsstellen-Webregistrierung zu beantragen oder eine vorhandene Zertifikatanforderung an die Zertifizierungsstelle zu übermitteln.
  • Die Beantragung dauert sehr lange und schlägt letztendlich mit HTTP Code 500 "Internal server error" fehl:
There is a problem with the resource you are looking for, and it cannot be displayed.
„Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit HTTP Fehlercode 500 "Internal Server error"“ weiterlesen

Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Domänenkonto konfigurieren

Nachfolgend wird beschrieben, wie man die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollmen, CAWE) einrichten sodass der Dienst unter einem Domänenkonto läuft.

„Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Domänenkonto konfigurieren“ weiterlesen

Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit Fehlercode "ERROR_ACCESS_DENIED"

Folgendes Szenario angenommen:

  • Im Netzwerk ist ein Server für die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) installiert.
  • Die Rolle ist auf einem separaten Server, nicht auf der Zertifizierungsstelle direkt installiert.
  • Ein Benutzer versucht, ein Zertifikat über die Zertifizierungsstellen-Webregistrierung zu beantragen oder eine vorhandene Zertifikatanforderung an die Zertifizierungsstelle zu übermitteln.
  • Die Beantragung schlägt mit folgender Fehlermeldung fehl:
Your request failed. An error occurred while the server was processing your request. Contact your administrator for further assistance.

In den Details der Fehlermeldung findet sich folgender Hinweis:

CCertRequest::Submit: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
„Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit Fehlercode "ERROR_ACCESS_DENIED"“ weiterlesen

Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Group Managed Service Account (gMSA) konfigurieren

Aus Sicherheitsgründen kann es sinnvoll sein, den CAWE statt mit einem normalen Domänenkonto lieber mit einem Group Managed Service Account (gMSA) zu betreiben. Diese Option bietet den charmanten Vorteil, dass das Passwort des Kontos automatisch geändert wird, und dieser Schritt somit nicht von Hand vorgenommen werden muss, was leider viel zu oft vergessen wird.

„Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Group Managed Service Account (gMSA) konfigurieren“ weiterlesen

Benötigte Windows-Sicherheitsberechtigungen für die Zertifizierungsstellen-Webregistrierung (CAWE)

Angenommen, man implementiert das Active Directory-Verwaltungsebenenmodell (Administrative Tiering Model) von Microsoft, oder wendet vergleichbare Härtungsmaßnahmen auf seinen Servern an, hat dies Auswirkungen auf die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE).

„Benötigte Windows-Sicherheitsberechtigungen für die Zertifizierungsstellen-Webregistrierung (CAWE)“ weiterlesen

Secure Sockets Layer (SSL) für die Zertifizierungsstellen-Webregistrierung (CAWE) aktivieren

In der Standardkonfiguration nimmt die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment CAWE) nur unverschlüsselte Verbindungen via HTTP an. Es ist angeraten, dass die CAWE für HTTP über TLS (HTTPS) konfiguriert wird, um Mitschnitte des Netzwerkverkehrs zu erschweren. Nachfolgend eine Anleitung.

„Secure Sockets Layer (SSL) für die Zertifizierungsstellen-Webregistrierung (CAWE) aktivieren“ weiterlesen