Die Beantragung eines Zertifikats über Enroll on Behalf of (EOBO) schlägt fehl mit der Fehlermeldung "A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)"

Es wird für einen Benutzer ein Zertifikat von einer Zertifizierungsstelle über die Verwaltungskonsole für Zertifikate (certmgr.msc) beantragt.
Man verwendet hierbei den Enroll on Behalf of (EOBO) Mechanismus.
Die Beantragung des Zertifikats schlägt mit folgender Fehlermeldung fehl:

A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)

Die Zertifizierungsstelle wird das Ereignis Nr. 22 protokollieren.

Ursache

Tritt auf, wenn die Zertifizierungsstelle, welche das Enrollment-Agenten-Zertifikat ausgestellt hat, nicht Mitglied von NTAuthCertificates im Active Directory ist.

Das NTAuthCertificates Objekt befindet sich unterhalb des Public Key Services Containers innerhalb der Konfigurationspartition der Active Directory Gesamtstruktur. In ihm sind alle Zertifizierungsstellen-Zertifikate hinterlegt, welche für eine Zertifikatbasierte Anmeldung im Windows Ökosystem verwendet werden können.

Der vollständige LDAP-Pfad lautet:

CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,{Forest-Root-Domain}

Folgende auf Zertifikaten aufbauende Funktionen erfordern das Vorhandensein des CA-Zertifikats in NTAuthCertificates Objekt:

Funktion	Beschreibung
Enroll on Behalf Of (EOBO)	Das CA-Zertifikat der Zertifizierungsstelle , welche die Zertifikate für die Enrollment Agenten ausstellt, muss sich in NTAuthCertificates befinden.
Key Recovery / Private Key Archivierung	Das CA-Zertifikat der Zertifizierungsstelle, welche die Schlüssel archiviert, muss sich in NTAuthCertificates befinden.
Smartcard Logon	Das CA-Zertifikat der Zertifizierungsstelle, welche die Zertifikate der Domänencontroller und der anmeldenden Benutzer ausstellt, muss sich in NTAuthCertificates befinden.
Windows Hello for Business	Identisch zu Smartcard Logon. Wenn Windows Hello for Business ohne Zertifikate wird, muss nur die Zertifizierungsstelle für Domänencontroller eingetragen sein.
Netzwerkrichtlinienserver (Network Policy Server, NPS), wenn Zertifikatbasierte Anmeldungen verarbeitet werden (z.B. 802.1x über drahtloses oder verkabeltes Netzwerk, DirectAccess, Always ON VPN)	Das CA-Zertifikat der Zertifizierungsstelle, welche die Zertifikate der anmeldenden Benutzer oder Computer ausstellt, muss sich in NTAuthCertificates befinden.
EFS Dateiwiederherstellungs-Agenten	Das CA-Zertifikat der Zertifizierungsstelle, welche die Zertifikate der Dateiwiederherstellungs-Agenten ausstellt, muss sich in NTAuthCertificates befinden.
IIS Client Certificate Mapping (gegen Active Directory)	Das CA-Zertifikat der Zertifizierungsstelle, welche die Zertifikate der anmeldenden Benutzer ausstellt, muss sich in NTAuthCertificates befinden.
Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES), nur Renewal-Modus	Betrifft nur den Renewal-Modus, also das signieren einer Zertifikatanforderung mit einem bestehenden Zertifikat. Das CA-Zertifikat der Zertifizierungsstelle, welche die Zertifikate der zu erneuernden Zertifikate ausgestellt hat, muss sich in NTAuthCertificates befinden.

Wird eine Active Directory integrierte Zertifizierungsstelle (Enterprise CA) neu installiert, wird ihr CA-Zertifikat automatisch von der Installationsroutine in das NTAuthCertificates Objekt kopiert. Im vorliegenden Fall wurde das CA-Zertifikat nachträglich aus dem Objekt entfernt.

Für eine Erklärung zur Aufnahme des Zertifizierungsstellen-Zertifikats in das NTAuthCertificates Objekt siehe Artikel "Bearbeiten des NTAuthCertificates Objektes".

Aus Sicherheitsgründen kann es durchaus empfehlenswert sein, dass sich ein Zertifizierungsstellen-Zertifikat nicht im NTAuthCertificates Objekt befindet. Hinzugefügte CA-Zertifikate werden von allen zuvor aufgelisteten Funktionen als vertrauenswürdig angesehen. Dies kann ein Sicherheitsrisiko bedeutet, angenommen, die Zertifizierungsstelle wird von einem Angreifer übernommen. Bevor man neue CA-Zertifikats in das NTAuthCertificates Objekt aufnimmt, sollte eine Sicherheitsbewertung stattfinden. Üblicherweise hat es einen Grund, dass das CA-Zertifikat auf NTAuthCertificates entfernt wurde.

Weiterführende Links:

Grundlagen: Enroll on Behalf of (EOBO)

2 Gedanken zu „Die Beantragung eines Zertifikats über Enroll on Behalf of (EOBO) schlägt fehl mit der Fehlermeldung "A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)"“

Pingback: Details zum Ereignis mit ID 22 der Quelle Microsoft-Windows-CertificationAuthority – Uwe Gradenegger
Pingback: Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "The request is not supported. 0x80070032 (WIN32: 50 ERROR_NOT_SUPPORTED)" – Uwe Gradenegger

Kommentare sind geschlossen.