Debug Protokollierung für den Certificate Enrollment Policy Web Service (CEP) aktivieren

Autor Uwe GradeneggerVeröffentlicht am Kategorien Troubleshooting, Zertifikatregistrierungs-WebdiensteSchlagwörter , ,

Versucht man, einem Fehler im Certificate Enrollment Policy Web Service (CEP) auf die Spur zu kommen, ist es hilfreich, das Debug Logging zu aktivieren.

Die Zertifikatregistrierungs-Webdienste (Certificate Enrollment Policy Web Service, CEP und Certificate Enrollment Web Service, CES) ermöglichen die automatische Beantragung und Erneuerung von Zertifikaten einer Zertifizierungsstelle über eine Webbasierte Schnittstelle. Somit ist kein direkter Kontakt zur Zertifizierungsstelle über Remote Procedure Call (RPC) notwendig. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Zertifikatbeantragung über Certificate Enrollment Web Services (CEP, CES)".

Installationsprotokoll

Während der Installation (Rollenkonfiguration) werden die Aktionen in folgende Protokolldatei geschrieben. 

%WINDIR%\certocm.log

Debug Logging aktivieren

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Das Debug Logging kann man mit folgendem Befehl aktivieren: 

certutil –setreg enroll\debug 0xffffffe3

Bevor die Protokollierung aktiv wird, muss der CEP Dienst mit dem iisreset Befehl neu gestartet werden. 

iisreset

Die Protokolldateien werden an folgende Speicherorte geschrieben:

  • %WINDIR%\certenroll.log, sofern das CEP Dienstkonto Schreibberechtigungen auf dieses Verzeichnis hat (wenn das Konto lokale Administrator-Rechte hat, was aus Sicherheitsgründen vermieden werden sollte).
  • %USERPROFILE%\certenroll.log falls das CEP Dienstkonto kene Schreibrechte auf das obige Verzeichnis hat.

Debug Logging deaktivieren

Das Debug Logging kann mit folgendem Kommandozeilenbefehl wieder deaktiviert werden: 

certutil –delreg enroll\debug

Anschließend ist wieder ein Neustart des NDES Dienstes mit dem iisreset Befehl erforderlich, damit die Protokollierung aufhört.

de_DEDeutsch
en_USEnglish de_DEDeutsch