Betreiben der Zertifizierungsstelle ohne Exit Modul

Wird eine Zertifizierungsstelle installiert, ist automatisch das "Windows Default" Exit Modul aktiviert. Dieses ermöglicht den Versand von E-Mail Nachrichten bei bestimmten Ereignissen der Zertifizierungsstelle. Die meisten Unternehmen verwenden diese Funktion jedoch überhaupt nicht.

Aber auch wenn das Exitmodul überhaupt nicht verwendet wird, verursacht es Sitzungen auf der Zertifizierungsstellen-Datenbank (siehe Ereignis Nr. 46). Auf Zertifizierungsstellen mit hoher Last kann dies problematisch sein.

Wenn die Funktionen, die es bietet, gar nicht verwendet werden (unter Windows Server Core funktioniert das "Windows Default" Exitmodul grundsätzlich nicht), kann es auch komplett deaktiviert werden.

Ein Beispielprojekt zur Erstellung eines eigenen Exit Moduls findet sich im Artikel "Ein Exit Modul für die Zertifizierungsstelle in C# erstellen". Damit ist die Möglichkeit gegeben, ein Exit Modul mit auf die eigenen Bedürfnisse zugeschnittenem Funktionsumfang zu entwickeln.

Vorgehensweise

Exitmodul deaktivieren

Zum deaktivieren des Exitmoduls muss es lediglich aus der Konfiguration der Zertifizierungsstelle entfernt werden.

Anschließend ist wieder ein Neustart des Zertifizierungsstellen-Dienstes erforderlich um die Änderungen anzuwenden.

In der Registrierung der Zertifizierungsstelle ist die Konfiguration des aktiven Exit Moduls in folgendem Pfad hintelegt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\{Common-Name-der-Zertifizierungsstelle}\ExitModules

Ist kein Exit Modul konfiguriert, ist der "Active" Wert entsprechend leer.

Exitmodul wieder aktivieren

Im Gegensatz zu Policy Modulen ist es – sofern vorhanden – auch möglich, mehrere Exit Module gleichzeitig zu aktivieren.

Anschließend ist wieder ein Neustart des Zertifizierungsstellen-Dienstes erforderlich um die Änderungen anzuwenden.

In der Registrierung ist der "Active" Wert entsprechend wieder gefüllt.

Weiterführende Links:

• Das SMTP Exit Modul funktioniert nicht auf Windows Server Core
• Die Ausstellung von Zertifikaten oder Sperrlisten schlägt fehl mit Fehlercode CERTSRV_E_NO_DB_SESSIONS
• Ein Exit Modul für die Zertifizierungsstelle in C# erstellen

Externe Quellen

• Exit Modules – Win32 apps (Microsoft)
• Writing Custom Exit Modules – Win32 apps (Microsoft)
• Managing Policy and Exit Modules (Microsoft)
• Select a Different Exit Module (Microsoft)
• Certificate Services Architecture (Microsoft)