Folgendes Szenario angenommen:
- Man versucht, ein Zertifikat über einen Certificate Enrollment Web Service (CEP) von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
- Der Vorgang schlägt mit folgender Fehlermeldung fehl:
The remote endpoint was not reachable. 0x803d0010 (-2143485936 WS_E_ENDPOINT_UNREACHABLE)
Die Zertifikatregistrierungs-Webdienste (Certificate Enrollment Policy Web Service, CEP und Certificate Enrollment Web Service, CES) ermöglichen die automatische Beantragung und Erneuerung von Zertifikaten einer Zertifizierungsstelle über eine Webbasierte Schnittstelle. Somit ist kein direkter Kontakt zur Zertifizierungsstelle über Remote Procedure Call (RPC) notwendig. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Zertifikatbeantragung über Certificate Enrollment Web Services (CEP, CES)".
Ruft man die CEP Adresse mit einem Browser auf, erhält man die Fehlermeldung, dass keine passenden SSL Cipher Suiten ermittelt werden konnten.
Im vorliegenden Fall war dem CEP ein Hardware Load Balancer vorgeschaltet, auf welchem es offenbar ein Konfigurationsproblem gab. Das Problem konnte durch Neuanlage der Konfiguration auf dem Hardware Load Balancer behoben werden.
Eine Paketanalye mit WireShark zeigte, dass vom Load Balancer auf das SSL Client Hello immer wieder eine RST Nachricht zurückgesendet wurde. Der Client reduzierte so lange die Cipher Suites, bis alle fehlgeschlagen waren, was auch die Meldung beim Aufruf mit dem Browser erklärt.
Deutsch 
English