Verwenden von Microsoft Network Load Balancing (NLB) für die Zertifikatregistrierungs-Webdienste (CEP, CES)

Es ist allgemein eine gute Idee, die Verfügbarkeit der Zertifikatregistrierungs-Webdienste (Zertifikatregistrierungs-Richtliniendienst, CEP und Zertifikatregistrierungs-Webdienst, CES) jederzeit sicherzustellen.

Nachfolgend wird beschrieben, wie dies mit dem Windows-Feature "Network Load Balancing" (NLB) erreicht werden kann.

„Verwenden von Microsoft Network Load Balancing (NLB) für die Zertifikatregistrierungs-Webdienste (CEP, CES)“ weiterlesen

Die Überprüfung der Zertifikatregistrierungsrichtlinie über den Zertifikatregistrierungs-Richtlinienwebdienst (CEP) schlägt fehl mit Fehlercode "WS_E_ENDPOINT_FAULT_RECEIVED"

Folgendes Szenario angenommen:

  • Benutzer (oder Computer) sollen Zertifikate über den Zertifikatregistrierungs-Richtlinienwebdienst (CEP) beantragen.
  • Hierfür wird eine Zertifikatregistrierungs-Richtlinie (Enrollment Policy) konfiguriert, welche auf einen Certificate Enrollment Policy Web Service (CEP) verweist.
  • Die Authentifizierung erfolgt via Kerberos.
  • Beim Überprüfen der Adresse schläft die Verbindung zum CEP schlägt fehl, und man erhält folgende Fehlermeldung:
An error occurred while obtaining certificate enrollment policy.
Url: https://cews.adcslabor.de/ADCS%20Labor%20Issuing%20CA%201_CES_Kerberos/service.svc/CES
Error: A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)
„Die Überprüfung der Zertifikatregistrierungsrichtlinie über den Zertifikatregistrierungs-Richtlinienwebdienst (CEP) schlägt fehl mit Fehlercode "WS_E_ENDPOINT_FAULT_RECEIVED"“ weiterlesen

Übersicht über die von der Zertifizierungsstelle generierten Audit-Ereignisse

Nachfolgend eine Übersicht über die von der Zertifizierungsstelle erzeugten Audit-Ereignisse in der Windows-Ereignisanzeige.

Im Gegensatz zu betrieblichen Ereignissen, die oft unter dem Begriff "Monitoring" verstanden werden, handelt es sich bei der Auditierung für die Zertifizierungsstelle um die Konfiguration der Protokollierung von sicherheitsrelevanten Ereignissen.

„Übersicht über die von der Zertifizierungsstelle generierten Audit-Ereignisse“ weiterlesen

Die Anmeldung via Smartcard über Remotedesktop (RDP) schlägt fehl mit Fehlermeldung "The requested key container does not exist on the smart card."

Folgendes Szenario angenommen:

  • Ein Benutzer meldet sich mittels Smartcard Logon Funktion auf einem Remote Desktop System an.
  • Der Benutzer verwendet einen Yubico Yubikey als Smartcard. Die benötigte Middleware ist sowohl auf dem lokalen als auch auf dem Remotesystem installiert.
  • Die Anmeldung schlägt mit folgender Fehlermeldung fehl:
The system could not log you on. The requested key container does not exist on the smart card.
„Die Anmeldung via Smartcard über Remotedesktop (RDP) schlägt fehl mit Fehlermeldung "The requested key container does not exist on the smart card."“ weiterlesen

Übersicht über die von der Zertifizierungsstelle generierten Windows-Ereignisse

Nachfolgend eine Übersicht über die von der Zertifizierungsstelle erzeugten Ereignisse in der Windows-Ereignisanzeige.

„Übersicht über die von der Zertifizierungsstelle generierten Windows-Ereignisse“ weiterlesen

Übersicht über die vom Zertifikatregistrierungs-Richtliniendienst (CEP) generierten Windows-Ereignisse

Nachfolgend eine Übersicht über die vom Zertifikatregistrierungs-Richtliniendienst (CEP) erzeugten Ereignisse in der Windows-Ereignisanzeige.

Die Ereignisse des Zertifikatregistrierungs-Richtliniendienstes sind nicht offiziell dokumentiert. Die nachfolgende Liste wurde mit Hilfe des Tools Windows Event Log Messages (WELM) erzeugt.

„Übersicht über die vom Zertifikatregistrierungs-Richtliniendienst (CEP) generierten Windows-Ereignisse“ weiterlesen

Übersicht über die vom Zertifikatregistrierungs-Webdienst (CES) generierten Windows-Ereignisse

Nachfolgend eine Übersicht über die vom Zertifikatregistrierungs-Webdienst (CES) erzeugten Ereignisse in der Windows-Ereignisanzeige.

Die Ereignisse des Zertifikatregistrierungs-Webdienstes sind nicht offiziell dokumentiert. Die nachfolgende Liste wurde mit Hilfe des Tools Windows Event Log Messages (WELM) erzeugt.

„Übersicht über die vom Zertifikatregistrierungs-Webdienst (CES) generierten Windows-Ereignisse“ weiterlesen

Übersicht über die vom Registrierungsdienst für Netzwerkgeräte (NDES) generierten Windows-Ereignisse

Nachfolgend eine Übersicht über die vom Registrierungsdienst für Netzwerkgeräte (NDES) erzeugten Ereignisse in der Windows-Ereignisanzeige.

Die Ereignisse des Registrierungsdienst für Netzwerkgeräte sind nicht offiziell dokumentiert. Die nachfolgende Liste wurde mit Hilfe des Tools Windows Event Log Messages (WELM) erzeugt.

„Übersicht über die vom Registrierungsdienst für Netzwerkgeräte (NDES) generierten Windows-Ereignisse“ weiterlesen

Übersicht über die vom Onlineresponder (OCSP) generierten Windows-Ereignisse

Nachfolgend eine Übersicht über die vom Onlineresponder (OCSP) erzeugten Ereignisse in der Windows-Ereignisanzeige.

Die Ereignisse des Onlineresponders sind nicht offiziell dokumentiert. Die nachfolgende Liste wurde mit Hilfe des Tools Windows Event Log Messages (WELM) erzeugt.

„Übersicht über die vom Onlineresponder (OCSP) generierten Windows-Ereignisse“ weiterlesen

Kombination Onlineresponder (OCSP) mit Delta CRL und Sperrlistenverteilpunkt (CDP) ohne Deltasperrliste für gesteigerte Resilienz

OCSP Antworten eines Microsoft OCSP Resonders sind genau so lange gültig wie die zugrunde liegende Sperrliste. In manchen Szenarien möchte man die Gültigkeitszeiten von OCSP verringern, indem man Delta CRLs verwendet. Gleichzeitig soll aber bei den in den CDP Pfaden eingetragenen Sperrlisten keine Delta CRL verwendet werden, um einen Fallback auf eine länger gültige CRL zu ermöglichen.

„Kombination Onlineresponder (OCSP) mit Delta CRL und Sperrlistenverteilpunkt (CDP) ohne Deltasperrliste für gesteigerte Resilienz“ weiterlesen

Auswirkungen des Ausfalls des Onlineresponders (OCSP) auf die Überprüfung des Sperrstatus eines Zertifikats

Nachfolgend wird untersucht, wie sich die Überprüfung des Sperrstatus verhält, wenn der Onlineresponder ausfallen sollte. Je nach Konfiguration der ausgestellten Zertifikate kann es hier zu stark abweichendem Verhalten kommen.

„Auswirkungen des Ausfalls des Onlineresponders (OCSP) auf die Überprüfung des Sperrstatus eines Zertifikats“ weiterlesen

Funktionstest durchführen für den Registrierungsdienst für Netzwerkgeräte (NDES)

Nach der Installation eines Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES), oder nach umfangreicheren Wartungsarbeiten sollte ein ausgiebiger Funktionstest erfolgen, um sicherzustellen, dass alle Komponenten wie gewünscht arbeiten.

„Funktionstest durchführen für den Registrierungsdienst für Netzwerkgeräte (NDES)“ weiterlesen

Den Network Device Enrollment Service (NDES) für die Verwendung mit einem Alias konfigurieren

Nachfolgend wird beschrieben, welche Schritte erforderlich sind, um den Registrierungs dienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) für die Verwendung mit einem Alias zu konfigurieren.

Mit dem Begriff Alias ist gemeint, dass der Dienst nicht mit dem Namen des Servers, auf welchem er installiert ist, aufgerufen wird, sondern mit einem hierbon unabhängigen, generischen Namen. Die Verwendung eines Alias ermöglicht, dass der Dienst zu einem späteren Zeitpunkt auf ein anderes System umgezogen werden kann, ohne dass die neue Adresse allen Teilnehmern mitgeteilt werden muss.

„Den Network Device Enrollment Service (NDES) für die Verwendung mit einem Alias konfigurieren“ weiterlesen

Konfigurieren der Zertifizierungsstelle auf einen statischen Port (RPC-Endpunkt)

In der Standardkonfiguration ist die Zertifikatbeantragungs-Schnittstelle der Zertifizierungsstelle darauf konfiguriert, dynamische Ports für die eingehenden RPC/DCOM Verbindungen auszuhandeln (näheres siehe Artikel "Benötigte Firewallregeln für Active Directory Certificate Services").

NetzwerkprotokollZiel-PortProtokoll
TCP135RPC Endpoint Mapper
TCP49152-65535RPC dynamische Ports

Diese Konfiguration ist nicht in jeder Unternehmens-Umgebung realisierbar. Oftmals gibt es restriktive Firewallregeln, welche die Verwendung dynamischer Netzwerk-Ports nicht erlauben.

In einem solchen Fall muss die Zertifizierungsstelle auf einen statischen Port konfiguriert werden.

„Konfigurieren der Zertifizierungsstelle auf einen statischen Port (RPC-Endpunkt)“ weiterlesen
de_DEDeutsch