Benötigte Firewallregeln für Active Directory Certificate Services

Implementiert man eine Active Directory integrierte Zertifizierungsstelle, ist oft eine Planung der im Netzwerk zu erstellenden Firewallregeln erforderlich. Nachfolgend eine Aufstellung der benötigten Firewallregeln und eventueller Fallstricke.

Benötigte Firewallregeln von Clients zur Zertifizierungsstelle

Zur Beantragung von Zertifikaten von Clients über RPC/DCOM werden folgende Firewallregeln benötigt:

NetzwerkprotokollZiel-PortProtokoll
TCP135RPC Endpoint Mapper
TCP49152-65535RPC dynamische Ports

Die Firewallregeln werden mit der Installation der Zertifizierungsstellen-Rolle automatisch mit konfiguriert. Sie müssen also üblicherweise nicht explizit aktiviert werden.

Die meisten Artikel verweisen darauf, dass auch der TCP Port 445 zur Zertifizierungsstelle geöffnet werden muss, und es wird auch eine entsprechende lokale Firewallregel erzeugt.

Für die Beantragung von Zertifikaten ist die Regel jedoch nicht erforderlich. Sie wird nur für administrative Aktionen benötigt. Näheres dazu im weiteren Verlauf des Beitrags.

Diese Firewallregeln reichen ebenfalls für das Abfragen der Zertifizierungsstellen-Datenbank von Remote-Systemen aus.

Benötigte Firewallregeln von Clients zur Sperrstatusinfrastruktur

Alle Systeme, die Zertifikate beantragen oder überprüfen benötigen Zugriff auf die Sperrstatusinfrastruktur (CRL Distribution Point, CDP und Authority Information Access, AIA).

Welche Ports zu öffnen sind, hängt von der Konfiguration der Sperrstatusinfrastruktur ab. Sind CDP und AIA über Webserver abgebildet, muss entsprechender Port für das Hypertext Transfer Protocol (HTTP) geöffnet werden.

NetzwerkprotokollPortProtokoll
TCP80Hypertext Transfer Protocol (HTTP)

Siehe auch Artikel "Benötigte Firewallregeln für den Onlineresponder (OCSP)".

Werden CDP und AIA auch oder nur über LDAP bereitgestellt, müssen die Firewall-Ports für Domänen-Clients in Richtung der Domänen-Controller der Gesamtstruktur geöffnet werden. Die Firewall-Anforderungen entsprechen denen eines Domänenmitglieds.

Dies umfasst folgende Ports:

NetzwerkprotokollZiel-PortProtokoll
TCP und UDP53Domain Name System
TCP88Kerberos
UDP123NTP
TCP135RPC Endpoint Mapper
TCP389LDAP
TCP445Server Message Block
RPC Named Pipes
TCP636LDAP over SSL
TCP3268LDAP-GC
TCP3269LDAP-GC over SSL
TCP49152-65535RPC dynamische Ports

Benötigte Firewallregeln von administrativen Clients zur Zertifizierungsstelle

Wird die Zertifizierungsstelle von einem Remotecomputer aus verwaltet, ist zusätzlich der TCP Port 445 in der Firewall zu erlauben. Die Rollenkonfiguration von NDES führt eine administrative Aktion durch und benötigt diesen Zugriff ebenfalls zumindest während des Konfigurationsprozesses. Es gibt jedoch die Möglichkeit, NDES auch manuell zu installieren, in diesem Fall ist es nicht erforderlich, die Firewall für den TCP Port 445 zu öffnen.

NetzwerkprotokollZiel-PortProtokoll
TCP135RPC Endpoint Mapper
TCP49152-65535RPC dynamische Ports
TCP445RPC Named Pipes

Näheres zur Notwendigkeit des TCP Port 445 in Verbindung mit den einzelnen ADCS Rollen im weiteren Verlauf des Beitrags.

Ist TCP 445 von Clients zur Zertifizierungsstelle erforderlich?

Im Rahmen von Härtungsmaßnahmen kann die Frage aufkommen, ob der TCP Port 445 von den Clients zur Zertifizierungsstelle wirklich erforderlich ist. Die Antwort darauf lautet:

Es kommt darauf an.

Der TCP Port 445 wird nicht nur für das allgemein bekannte Server Message Block (SMB) Protokoll, auch bekannt als Common Internet File System (CIFS) verwendet, sondern auch für RPC Names Pipes, wie im Fall der Zertifizierungsstelle. Einige Funktionen der Zertifizierungsstelle benötigen diesen Port zum Funktionieren.

Hier eine Liste:

AnwendungsfallErgebnis
(TCP 445 nicht geöffnet)
Zertifikatbeantragung via RPC/DCOM
(manuell und AutoEnrollment)
Funktioniert
Abfragen der Zertifizierungsstellen-DatenbankFunktioniert
NDES RollenkonfigurationFunktioniert nicht
Zertifikatbeantragung via NDESFunktioniert
Zertifikatbeantragung via Zertifizierungsstellen-WebregistrierungFunktioniert
Zertifikatbeantragung des OCSP Responders (verwendet eigenen Enrollment Code)Funktioniert
Administration der Zertifizierungsstelle über Remoteserver-VerwaltungstoolsFunktioniert nicht

Der TCP-Port 445 wird also nur für das ICertAdmin Interface benötigt. Im Allgemeinen ist es also ratsam, diesen Port nicht allen Clients zugänglich zu machen.

Sowohl die Rollenkonfiguration von NDES sowie die Remoteserver-Verwaltungstools werden mit der Fehlermeldung "The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)" fehlschlagen, wenn der TCP-Port 445 nicht für das entsprechende System geöffnet ist.

Hier sollten jedoch entweder nur vorübergehende oder feingranular gesetzte Firewallregeln verwendet werden, um die möglichen Angriffsvektoren so gering wie möglich zu halten.

Benötigte Firewallregeln von der Zertifizierungsstelle zu anderen Hosts

Ausgehend muss die Zertifizierungsstelle, sofern es sich um eine Active Directory-integrierte Zertifizierungsstelle handelt, lediglich mit den Domain Controllern der Gesamtstruktur kommunizieren. Die Firewall-Anforderungen entsprechen denen eines Domänenmitglieds.

Dies umfasst folgende Ports:

NetzwerkprotokollZiel-PortProtokoll
TCP und UDP53Domain Name System
TCP88Kerberos
UDP123NTP
TCP135RPC Endpoint Mapper
TCP389LDAP
TCP445Server Message Block
RPC Named Pipes
TCP636LDAP over SSL
TCP3268LDAP-GC
TCP3269LDAP-GC over SSL
TCP49152-65535RPC dynamische Ports

Ist TCP 445 von der Zertifizierungsstelle zu den Domänencontrollern erforderlich?

Im Rahmen von Härtungsmaßnahmen kann die Frage aufkommen, ob der TCP Port 445 von der Zertifizierungsstelle zu den Domänencontrollern wirklich erforderlich ist. Die Antwort darauf lautet:

Klares Ja!

Die für Domänencontroller bevorzugte Zertifikatvorlage "Kerberos Authentication" und davon abgeleitete Zertifikatvorlagen enthalten das Flag CT_FLAG_SUBJECT_ALT_REQUIRE_DOMAIN_DNS.

Dieses Flag bewirkt, dass die Zertifizierungsstelle den vollqualifizierten Domänennamen (FQDN) sowie den NETBIOS-Namen des Antragstellers in die Subject Alternative Name (SAN) Erweiterung des Zertifikats einträgt und erfordert, dass die Zertifizierungsstelle per NTLM mit dem beantragenden Domain Controller sprechen kann.

Diese Kommunikation erfolgt über den TCP-Port 445, der entsprechend in der Firewallkonfiguration des Netzwerks freigegeben sein muss.

Ist der Port auf dem Domänencontroller nicht erreichbar, wird die Zertifikatbeantragung mit der Fehlermeldung "The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)" fehlschlagen.

Sonderfall Zertifizierungsstellen-Webregistrierung (CAWE)

Speziell an der CAWE Rolle ist, dass die Zertifizierungsstelle als Antwort auf eine Zertifikatanforderung von CAWE eine Verbindung zu den dynamischen RPC Ports des CAWE Servers zu öffnen versucht. Wenn diese Firewallregel nicht eingerichtet wird, dauert die Beantragung von Zertifikaten über die CAWE sehr lange oder bricht gänzlich ab.

NetzwerkprotokollZiel-PortProtokoll
TCP135RPC Endpoint Mapper
TCP49152-65535RPC dynamische Ports

Siehe hierzu auch Artikel "Benötigte Firewallregeln für die Zertifizierungsstellen-Webregistrierung (CAWE)".

Wiederherstellen der Standard Windows-Firewall-Regeln auf der Zertifizierungsstelle

Die Standard Windows-Firewall-Regeln auf einer Zertifizierungsstelle können mit folgemdem Windows PowerShell-Befehl wieder aktiviert werden.

Enable-NetFirewallRule `
    -Name Microsoft-Windows-CertificateServices-CertSvc-DCOM-In
Enable-NetFirewallRule `
    -Name Microsoft-Windows-CertificateServices-CertSvc-RPC-EPMAP-In
Enable-NetFirewallRule `
    -Name Microsoft-Windows-CertificateServices-CertSvc-RPC-NP-In
Enable-NetFirewallRule `
    -Name Microsoft-Windows-CertificateServices-CertSvc-RPC-TCP-In
Enable-NetFirewallRule `
    -Name Microsoft-Windows-CertificateServices-CertSvc-TCP-Out

Weiterführende Links:

20 Gedanken zu „Benötigte Firewallregeln für Active Directory Certificate Services“

Kommentare sind geschlossen.