Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Domänenkonto konfigurieren

Nachfolgend wird beschrieben, wie man die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) einrichten sodass der Dienst unter einem Domänenkonto läuft.

Die Zertifizierungsstellen-Webregistrierung ist eine sehr alte Funktion aus Windows 2000 Zeiten – und wurde zuletzt mit dem Release von Windows Server 2003 angepasst. Entsprechend alt und potentiell unsicher ist der Code. Ebenso unterstützt die Funktion keine Zertifikatvorlagen mit Version 3 oder neuer – damit sind keine Zertifikatvorlagen nutzbar, welche Funktionen verwenden, die mit Windows Vista / Windows Server 2008 oder neuer eingeführt wurden. Es wird empfohlen, die Zertifizierungsstellen-Webregistrierung nicht einzusetzen und stattdessen eine Beantragung der Zertifikate über Bordmittel oder das PSCertificateEnrollment PowerShell Modul vorzunehmen.

Der Betrieb mit einem Domänenkonto kann nur dann sicher gewährleistet werden, wenn das Konto über ein komplexes Passwort verfügt, und dieses in regelmäßigen Abständen geändert wird. Sofern es in der eigenen Umgebung möglich ist sollte immer der Verwendung eines Group Managed Service Account (gMSA) oder (wenn es sich um einen dedizierten Server handelt auch der integrierten Anwendungspool-Identität) der Vorzug gegeben werden.

Die Konfiguration der CAWE mit einem Group Managed Service Account wird im Artikel "Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Group Managed Service Account (gMSA) konfigurieren" beschrieben.

Wurde der CAWE nach der im Artikel "Installieren der Zertifizierungsstellen-Webregistrierung (CAWE)" beschriebenen Anleitung installiert, läuft der Dienst nach der Installation mit der Identität des integrierten IIS-Anwendungspools.

Voraussetzungen für das Domänenkonto für die CAWE

Das Domänenkonto für die CAWE…

  • muss Mitglied der lokalen Gruppe der IIS_IUSRS sein
  • benötigt einen Dienstprinzipalnamen (Service Principal Name, SPN), der je nach Konfiguration dem vollqualifizierten Servernamen oder dem zu verwendenden Alias entsprechen muss
  • benötigt eine Kerberos Delegierung auf die Zertifizierungsstelle.

Parameter für die nachfolgende Anleitung

Die nachfolgende Anleitung basiert auf den folgende Parametern, die entsprechend an die eigene Umgebung angepasst werden müssen.

  • Das Dienstkonto hat den Namen Service_CAWE
  • Der CAWE Server hat den Namen CAWE01.intra.adcslabor.de.
    Die verbundene Zertifizierungsstelle lauft auf dem Server CA03.intra.adcslabor.de.
  • Der Alias lautet certenroll.adcslabor.de, welcher entsprechend vorab im Doain Name System (DNS) registriert wurde
  • Für den Service_CAWE wird eine eingeschränkte Delegierung mit Protokollübergang konfiguriert, um neben Kerberos auch andere Anmeldemethoden zu unterstützen.

Konfigurieren des Dienstprinzipalnamens für das CAWE Dienstkonto

setspn -S HTTP/certenroll.adcslabor.de INTRA\Service_CAWE

Konfigurieren der Delegierungseinstellungen für das Dienstkonto

Folgende Einstellungen werden vorgenommen:

  • Eingeschränkte Delegierung zur Zertifizierungsstelle CA03.intra.adcslabor.de mit Protokollübergang (Protocol Transition, Option "Use any authentication protocol") für die Protokolle "HOST" und "rpcss". Der Protokollübergang ist erforderlich, damit auch andere Authentifizierungsmethoden neben Kerberos verwendet werden können, beispielsweise wenn man sich von einem nicht-Windows-System oder einem Windows System außerhalb der Active Directory Gesamtstruktur am CAWE authentifizieren möchte.

Mit Aktivierung dieser Option besteht großes Missbrauchspotential, insbesondere, wenn das Passwort des Dienstkontos nicht regelmäßig geändert wird. Siehe Artikel "Gefährdung der Zertifizierungsstelle und des Active Directory über die Zertifizierungsstellen-Webregistrierung (CAWE)".

Das Dienstkonto in die IIS_IUSRS Gruppe auf dem CAWE Server aufnehmen

Der eingerichtete gMSA muss nun noch in die lokale Sicherheitsgruppe IIS_IUSRS aufgenommen werden, damit er vom CAWE verwendet werden kann. Dies kann über die Managementkonsole für lokale Benutzer (lusrmgr.msc) erfolgen.

IIS Anwendungspool

Damit der CAWE Dienst mit dem Dienstkonto arbeitet, muss dieser im DefaultAppPool-Anwendungspool in der Internet Information Server (IIS) Managementkonsole konfiguriert werden. Hierzu wird mit rechts auf den DefaultAppPool-Anwendungspool geklickt und die Option "Advanced Settings…" gewählt.

Bei der Option "Identity" klickt man auf der rechten Seite auf den "…" Button.

Im nachfolgenden Dialog wählt man "Custom account" und klickt auf "Set…".

Nun kann das Domänenkonto angegeben werden. Der Domänenname muss hierbei unbedingt mit angegeben werden. Sollte das Passwort falsch eingegeben werden, erhält man bei Klick auf "OK" eine entsprechende Fehlermeldung.

Neustart des Web Server Dienstes zum Anwenden der Konfiguration

Der Web Server Dienst wird anschließend mit dem iisreset Befehl neu gestartet.

Weiterführende Links:

Externe Quellen