Versucht man, einem Fehler im Certificate Enrollment Policy Web Service (CEP) auf die Spur zu kommen, ist es hilfreich, das Debug Logging zu aktivieren.
Die Zertifikatregistrierungs-Webdienste (Certificate Enrollment Policy Web Service, CEP und Certificate Enrollment Web Service, CES) ermöglichen die automatische Beantragung und Erneuerung von Zertifikaten einer Zertifizierungsstelle über eine Webbasierte Schnittstelle. Somit ist kein direkter Kontakt zur Zertifizierungsstelle über Remote Procedure Call (RPC) notwendig. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Zertifikatbeantragung über Certificate Enrollment Web Services (CEP, CES)".
Installationsprotokoll
Während der Installation (Rollenkonfiguration) werden die Aktionen in folgende Protokolldatei geschrieben.
%WINDIR%\certocm.log
Debug Logging aktivieren
Das Debug Logging kann man mit folgendem Befehl aktivieren:
certutil –setreg enroll\debug 0xffffffe3

Bevor die Protokollierung aktiv wird, muss der CEP Dienst mit dem iisreset Befehl neu gestartet werden.

iisreset
Die Protokolldateien werden an folgende Speicherorte geschrieben:
- %WINDIR%\certenroll.log, sofern das CEP Dienstkonto Schreibberechtigungen auf dieses Verzeichnis hat (wenn das Konto lokale Administrator-Rechte hat, was aus Sicherheitsgründen vermieden werden sollte).
- %USERPROFILE%\certenroll.log falls das CEP Dienstkonto kene Schreibrechte auf das obige Verzeichnis hat.
Debug Logging deaktivieren
Das Debug Logging kann mit folgendem Kommandozeilenbefehl wieder deaktiviert werden:
certutil –delreg enroll\debug

Anschließend ist wieder ein Neustart des NDES Dienstes mit dem iisreset Befehl erforderlich, damit die Protokollierung aufhört.