Liste der Use Cases für Zertifikate, die bestimmte Cryptographic Service Provider (CSP) oder Key Storage Provider (KSP) benötigen

Mit Windows Server 2008 wurde zusammen mit den NSA Suite B Algorithmen (auch als Cryptography Next Generation, CNG bekannt) mit den Key Storage Providern eine neue, moderne Schnittstelle für die Erzeugung, Speicherung und Verwendung von privaten Schlüsseln im Windows-Ökosystem eingeführt.

In den meisten Fällen spielt es keine Rolle, welche CSP oder KSP für Zertifikate verwendet wird. Einige Anwendungen werden allerdings nicht oder nicht korrekt funktionieren, wenn der falsche Provider gewählt wurde.

Nachfolgend eine Liste mir bekannter Anwendungsfälle für Zertifikate, die nur mit einem bestimmten Cryptographic Service Provider (CSP) oder Key Storage Provider (KSP) zusammenarbeiten.

„Liste der Use Cases für Zertifikate, die bestimmte Cryptographic Service Provider (CSP) oder Key Storage Provider (KSP) benötigen“ weiterlesen

Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The system cannot find the file specified. 0x2 (WIN32: 2 ERROR_FILE_NOT_FOUND)"

Folgendes Szenario angenommen:

  • Es wird eine Zertifizierungsstelle installiert.
  • Die Installation verläuft erfolgreich, der Zertifizierungsstellen-Dienst startet aber nicht nach der Installation.
  • Beim Versuch, den Zertifizierungsstellen-Dienst über die Zertifizierungsstellen-Verwaltungskonsole zu starten, erhält man folgende Fehlermeldung:
The system cannot find the file specified. 0x2 (WIN32: 2 ERROR_FILE_NOT_FOUND)
The policy module for a CA is missing or incorrectly registered. To view or change policy module settings, right-click on the CA, click Properties, and then click the Policy Module tab.
„Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The system cannot find the file specified. 0x2 (WIN32: 2 ERROR_FILE_NOT_FOUND)"“ weiterlesen

HTTPS/SSL Datenverkehr mit Wireshark inspizieren

Bei Fehlersuche kann es sehr hilfreich sein, verschlüsselte SSL Verbindungen einzusehen, um die darin liegenden Nachrichten inspizieren zu können. Es gibt einen relativ einfachen Weg, dies mit Wireshark zu realisieren.

„HTTPS/SSL Datenverkehr mit Wireshark inspizieren“ weiterlesen

HTTP Fehlercode 403 bei Anmeldung mittels Client-Zertifikat an Internet Information Services (IIS) nach Erneuerung des Webserver-Zertifikats

Folgendes Szenario angenommen:

  • Ein Benutzer oder eine Anwendung ruft eine auf einem Internet Information Services (IIS) Webserver betriebene Webseite oder Webanwendung auf.
  • Der Webserver is so konfiguriert, dass für die aufgerufene Ressource ein Clientzertifikat angefordert wird.
  • Obwohl auf dem Client ein gültiges Clientzertifikat vorliegt, wird umgehend der Fehlercode 403 Forbidden zurückgegeben. Der Anwender wird (bei Aufruf der Seite mit einem Browser) nicht zur Auswahl eines Zertifikats aufgefordert.
  • Das Webserver-Zertifikat wurde jüngst erneuert und die IIS SSL-Bindung entsprechend über den IIS-Manager konfiguriert.
403 - Forbidden: Access is denied.
You do not have permission to view this directory or page using the credentials that you supplied.
„HTTP Fehlercode 403 bei Anmeldung mittels Client-Zertifikat an Internet Information Services (IIS) nach Erneuerung des Webserver-Zertifikats“ weiterlesen

Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "The request is missing required signature policy information. 0x80094809 (-2146875383 CERTSRV_E_SIGNATURE_POLICY_REQUIRED)"

Folgendes Szenario angenommen:

  • Ein Benutzer sendet eine Zertifikatanforderung an eine Zertifizierungsstelle.
  • Die Beantragung des Zertifikats schlägt mit folgender Fehlermeldung fehl:
The request is missing required signature policy information. 0x80094809 (-2146875383 CERTSRV_E_SIGNATURE_POLICY_REQUIRED)
Denied by Policy Module
„Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "The request is missing required signature policy information. 0x80094809 (-2146875383 CERTSRV_E_SIGNATURE_POLICY_REQUIRED)"“ weiterlesen

Microsoft Outlook: Empfänger-Zertifikate bei S/MIME verschlüsselten Mails herausfinden

Zur Fehlersuche bei mittels Secure/Multipurpose Internet Mail Extensions (S/MIME) verschlüsselten E-Mail Nachrichten, kann der verschlüsselte Teil einer Nachricht exportiert werden. Siehe hierzu Artikel "Microsoft Outlook: Extrahieren einer verschlüsselten S/MIME Nachricht aus einer E-Mail".

Um herauszufinden, mit welchen Zertifikaten eine Nachricht verschlüsselt wurde, kann wie folgt vorgegangen werden…

„Microsoft Outlook: Empfänger-Zertifikate bei S/MIME verschlüsselten Mails herausfinden“ weiterlesen

Microsoft Outlook: Extrahieren einer verschlüsselten S/MIME Nachricht aus einer E-Mail

Der verschlüsselte Teil einer mit Secure/Multipurpose Internet Mail Extensions (S/MIME) verschlüsselten E-Mail Nachricht ist immer in einer Datei namens "smime.p7m" als Anlage der Mail enthalten.

Outlook zeigt diese Anlage nicht an, sie kann zu Analysezwecken allerdings mit dem kostenfrei von Microsoft bereitgestellten MFCMAPI aus der E-Mail extrahiert werden.

„Microsoft Outlook: Extrahieren einer verschlüsselten S/MIME Nachricht aus einer E-Mail“ weiterlesen

Grundlagen: Konfigurationsdatei für die Zertifizierungsstelle (capolicy.inf)

Die capolicy.inf beinhaltet grundlegende Einstellungen, die vor der Installation einer Zertifizierungstelle festgelegt werden können oder sollten. vereinfacht ausgedrückt kann man sagen, dass keine Zertifizierungsstelle ohne sie installiert werden sollte.

„Grundlagen: Konfigurationsdatei für die Zertifizierungsstelle (capolicy.inf)“ weiterlesen

Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)."

Folgendes Szenario angenommen:

  • Es wird versucht, ein Zertifikat von einer ins Active Directory integrierten Zertifizierungsstelle (Enterprise CA) für einen Benutzer oder Computer zu beantragen.
  • Die Beantragung des Zertifikats schlägt mit folgender Fehlermeldung fehl:
The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE).
„Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)."“ weiterlesen

Microsoft Outlook: Mit S/MIME verschlüsselte E-Mails können nicht geöffnet werden. Es erscheint die Fehlermeldung "Your digital ID name cannot be found by the underlying security system."

Folgendes Szenario angenommen:

  • Ein Benutzer erhält eine mit Secure/Multipurpose Internet Mail Extensions (S/MIME) verschlüsselte E-Mail Nachricht.
  • Die Nachricht kann nicht geöffnet werden.
  • Beim Öffnen der Nachricht wird folgende Fehlermeldung angezeigt:
Sorry, we're having trouble opening this item. This could be temporary, but if you see it again you might want to restart Outlook. Your digital ID name cannot be found by the underlying security system.
„Microsoft Outlook: Mit S/MIME verschlüsselte E-Mails können nicht geöffnet werden. Es erscheint die Fehlermeldung "Your digital ID name cannot be found by the underlying security system."“ weiterlesen

Microsoft Outlook: Korrekt signierte E-Mails (S/MIME) werden nach Ablauf des Signaturzertifikats als ungültig angezeigt

Folgendes Szenario angenommen:

  • Ein Benutzer hat in der Vergangenheit eine E-Mail Nachricht erhalten.
  • Die Nachricht wurde mit einem S/MIME Zertifikat signiert.
  • Das Signatur-Zertifikat des Absender wurde von einer Zertifizierungsstelle ausgestellt, der beim Empfänger Vertrauensstatus eingeräumt wurde.
  • Die Signatur wurde also zum Zeitpunkt des Erhalts der Nachricht als gültig anerkannt.
  • Der Benutzer öffnet die Mail einige Zeit später erneut und stellt fest, dass die Signatur als ungültig eingestuft wird.
„Microsoft Outlook: Korrekt signierte E-Mails (S/MIME) werden nach Ablauf des Signaturzertifikats als ungültig angezeigt“ weiterlesen