Details zum Ereignis mit ID 86 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll

Ereignisquelle:	Microsoft-Windows-CertificateServicesClient-CertEnroll
Ereignis-ID:	86 (0xC25A0056)
Ereignisprotokoll:	Application
Ereignistyp:	Error
Ereignistext (englisch):	SCEP Certificate enrollment initialization for %1 via %2 failed: %3 Method: %4 Stage: %5 %6
Ereignistext (deutsch):	Fehler bei der Initialisierung der SCEP-Zertifikatregistrierung für %1 über %2: %3 Methode: %4 Phase: %5 %6

Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".

Seit Windows 8.1 ist ein Client für das Simple Certificate Enrollment Protocol (SCEP) in das Windows-Betriebssystem integriert. Für ein Nutzungsbeispiel siehe Artikel "Zertifikatbeantragung für Windows-Systeme über den Registrierungsdienst für Netzwerkgeräte (NDES) mit Windows PowerShell".

Parameter

Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:

• %1: Context (win:UnicodeString)
• %2: Url (win:UnicodeString)
• %3: MessageText (win:UnicodeString)
• %4: Method (win:UnicodeString)
• %5: Stage (win:UnicodeString)
• %6: ErrorCode (win:UnicodeString)

Beispiel-Ereignisse

SCEP Certificate enrollment initialization for INTRA\rudi via https://ndes01.intra.adcslabor.de/certsrv/mscep/mscep.dll/pkiclient.exe failed:  GetCACaps  Method: GET(47ms) Stage: GetCACaps A security error occurred 0x80072f8f (WinHttp: 12175 ERROR_WINHTTP_SECURE_FAILURE)

Fehler bei der Initialisierung der SCEP-Zertifikatregistrierung für WORKGROUP\CLIENT1$ über https://IFX-KeyId-18b1af70b93f991972f362556a9a3fbf4bb24e0d.microsoftaik.azure.net/templates/Aik/scep:
 GetCACaps
 Methode: GET(15ms)
 Phase: GetCACaps
 The server name or address could not be resolved 0x80072ee7 (WinHttp: 12007 ERROR_WINHTTP_NAME_NOT_RESOLVED)

Beschreibung

Tritt auf, wenn die erste Operation (GetCACaps) einer Zertifikatbeantragung über das Simple Certificate Enrollment Protocol (SCEP) fehlschlägt (siehe hierzu auch Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)").

Fehlercode ERROR_WINHTTP_SECURE_FAILURE

Tritt auf, wenn die Zertifikatbeantragung über HTTPS vorgenommen wird, und das Zertifikat des SCEP-Servers nicht überprüft werden konnte.

Die Verwendung von SSL ist für das SCEP Protokoll möglich aber in der Regel nicht nötig. Siehe hierzu auch Artikel "Sollte HTTPS für den Registrierungsdienst für Netzwerkgeräte (NDES) verwendet werden?".

Attestation Identity Key (AIK) Zertifikat

Windows 10 beantragt ein Attestation Identity Key (AIK) Zertifikat von einem Microsoft Cloud Dienst via SCEP Protokoll, wenn der Computer über ein kompatibles Trusted Platform Modul (TPM) verfügt.

Dies wird durch den geplanten Task namens "AikCertEnrollTask" unter "\Microsoft\Windows\CertificateServicesClient" ausgelöst.

Die Zertifikatbeantragung erfolgt, wenn das im Computer verbaute Trusted Platform Modul über ein Endorsementzertifikat (EKCert) verfügt.

Ein Teil der aufgerufenen DNS-Domäne wird aus Attributen des EKCert gebildet (TPM-Hersteller aus dem Subject Alternative Name und dem Subject Key Identifier (SKI)).

Wenn die Zertifkatbeantragung erfolgreich war, und keine Anwendung auf das AIK Zertifikat zugreift, wird der Task nicht erneut ausgeführt.

Wenn die Zertifikatbeantragung nicht erfolgreich war, wird sie einige Male in unregelmäßigen Abständen erneut versucht. Die Fehlermeldung wird beispielsweise dann protokolliert, wenn der Computer beim ersten Start über keine Internetverbindung verfügt, und entsprechend der Clouddienst nicht aufgerufen werden kann (z.B. Fehlercode ERROR_WINHTTP_NAME_NOT_RESOLVED).

Wird das AIK Zertifikat durch eine Anwendung verwendet, wird der Task erneut ausgeführt, um es zu ersetzen.

Für den Betrieb in einer abgeschotteten Umgebung kann der "AikCertEnrollTask" deaktiviert werden.

Sicherheitsbewertung

Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).

Hierzu wurde noch keine Beschreibung verfasst.

Weiterführende Links:

• Protokollierung für die automatische Zertifikatbeantragung (Autoenrollment) aktivieren
• Ermitteln und Exportieren eines Trusted Platform Module (TPM) Endorsement Zertifikats

Externe Quellen

• [MS-WCCE]: Key Attestation (Microsoft)
• Attestation Identity Key (AIK) Certificate Enrollment Specification – Frequently Asked Questions (Trusted Computing Group)
• TPM 2.0 Error with Every Boot (Microsoft TechNet Foren)
• Trusted Platform Module (Wikipedia)
• TPM Attestation: What can possibly go wrong? (Michael Niehaus)