Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit dem Fehlercode "WS_E_ENDPOINT_FAULT_RECEIVED"

Folgendes Szenario angenommen:

  • Es ist ein Certificate Enrollment Web Service (CES) im Netzwerk implementiert.
  • Es wird eine Zertifikatanforderung an den CES gesendet.
  • Die Beantragung des Zertifikats schlägt mit folgender Fehlermeldung fehl:
A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)

Die Zertifikatregistrierungs-Webdienste (Certificate Enrollment Policy Web Service, CEP und Certificate Enrollment Web Service, CES) ermöglichen die automatische Beantragung und Erneuerung von Zertifikaten einer Zertifizierungsstelle über eine Webbasierte Schnittstelle. Somit ist kein direkter Kontakt zur Zertifizierungsstelle über Remote Procedure Call (RPC) notwendig. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Zertifikatbeantragung über Certificate Enrollment Web Services (CEP, CES)".

Mögliche Ursachen

Ursache Kerberos Authentifizierung

Meistens bedeutet der Fehlercode WS_E_ENDPOINT_FAULT_RECEIVED, dass die Kerberos Authentifizierung fehlgeschlagen ist. Mögliche Ursachen können sein:

  • Das Benutzerkonto des beantragenden Benutzers darf nicht delegiert werden.
  • Das Benutzerkonto des beantragenden Benutzers darf keine Zertifikate von der Zertifizierungsstelle beantragen.
  • Das Benutzerkonto besitzt nicht das Recht "Request Certificates" auf der Ziel-Zertifizierungsstelle (in der Standardeinstellung durch Mitgliedschaft in "Authenticated Users" gewährleistet).
  • Der CES Server darf keine delegierte Authentifizierung durchführen.
  • Das Dienstkonto des CES (üblicherweise durch Mitgliedschaft in der Sicherheitsgruppe IIS_IUSRS abgebildet) muss das Recht "Impersonate a client after authentication" (SeImpersonatePrivilage) besitzen.
  • Credential Guard erlaut keine Kerberos Unconstrained Delegation, die Kerberos Delegierung muss somit zwingend mit Constraint vorgenommen werden.

Ursache Key based Renewal

  • Wenn Key based Renewal eingesetzt wird, kann der Fehler auch auftreten, wenn das Konto, unter welchem der IIS Anwendungspool (WSEnrollmentServer) ausgeführt wird, keine Leseberechtigung auf der Zertifizierungsstelle besitzt. In diesem Fall wird der CES das Ereignis Nr. 8 protokollieren.
  • Wenn Key based Renewal eingesetzt wird, kann der Fehler auch auftreten, wenn die Zertifizierungsstelle das Flag EDITF_ENABLERENEWONBEHALFOF nicht gesetzt hat. In diesem Fall wird der CES das Ereignis Nr. 9 protokollieren.

Sonstige Ursachen

  • Die Zertifikatanforderung wurde zwar erfolgreich an die Zertifizierungsstelle gesendet, schlug dort aber fehl. In diesem Fall werden weitere Details in der Fehlermeldung angezeigt.

Details

Das Benutzerkonto des beantragenden Benutzers darf nicht delegiert werden

Wenn auf dem Benutzerkonto das Attribut "Account is sensitive and cannot be delegated" (LDAP-Flag ADS_UF_NOT_DELEGATED) gesetzt ist, kann keine delegierte Authentifizierung durchgeführt werden.

Sollte die Einstellung auf dem Benutzerkonto geändert werden, muss sich der beantragende Benutzer einmal neu anmelden, damit die Änderung wirksam wird.

Das Benutzerkonto des beantragenden Benutzers darf keine Zertifikate von der Zertifizierungsstelle beantragen

In diesem Beispiel wurde dem Benutzer die "Request Certificates" Berechtigung auf der Zertifizierungsstelle entzogen. In der Standardeinstellung haben die "Authenticated Users" die "Request Certificates" Berechtigung.

Der CES Server darf keine delegierte Authentifizierung durchführen

Die Delegierungskonfiguration hängt davon ab, wie der CES eingerichtet wurde. Näheres siehe Artikel "Übersicht über die möglichen Delegierungseinstellungen für den Zertifikatregistrierungs-Webdient (CES)".

Die Sicherheitsgruppe IIS_IUSRS muss das Recht "Impersonate a client after authentication" besitzen

Das Dienstkonto, unter welchem der CES-Dienst betrieben wird (Die Identität des IIS Anwendungspools) benötigt das Recht "Impersonate a Client after Authentication". Für weitere Details siehe Artikel "Benötigte Windows-Sicherheitsberechtigungen für den Zertifikatregistrierungs-Webdient (CES)".

Die Zertifikatanforderung wurde zwar erfolgreich an die Zertifizierungsstelle gesendet, schlug dort aber fehl

Die Fehlermeldung kann auch auftreten, wenn die Zertifikatanforderung erfolgreich an die Zertifizierungsstelle gesendet werden konnte – der CES also ordnungsgemäß arbeitet – die Zertifikatanforderung jedoch auf der Zertifizierungsstelle fehlschlägt. In diesem Fall tritt der Fehlercode WS_E_ENDPOINT_FAULT_RECEIVED jedoch in Kombination mit der Fehlermeldung der fehlgeschlagenen Zertifikatanforderung auf.

Im untenstehenden Beispiel schlägt die Zertifikatanforderung fehl, weil der Benutzer über keine E-Mail Adresse verfügt, diese jedoch gemäß der Einstellungen in der Zertifikatvorlage dem ausgestellten Zertifikat hinzugefügt werden soll. Entsprechend wird die Fehlermeldung 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED) mit ausgegeben.

Im untenstehenden Beispiel schlägt die Zertifikatanforderung fehl, die konfigurierte Zertifikatvorlage eine ungültige Ausstellungsrichtlinie (eng. Iossuance Policy) beinhaltet. Entsprechend wird die Fehlermeldung 0x800b0113 (-2146762477 CERT_E_INVALID_POLICY) mit ausgegeben.

Weiterführende Links:

2 Gedanken zu „Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit dem Fehlercode "WS_E_ENDPOINT_FAULT_RECEIVED"“

Kommentare sind geschlossen.