Implementiert man eine Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE), ist oft eine Planung der im Netzwerk zu erstellenden Firewallregeln erforderlich. Nachfolgend eine Aufstellung der benötigten Firewallregeln und eventueller Fallstricke.
Die Zertifizierungsstellen-Webregistrierung ist eine sehr alte Funktion aus Windows 2000 Zeiten – und wurde zuletzt mit dem Release von Windows Server 2003 angepasst. Entsprechend alt und potentiell unsicher ist der Code. Ebenso unterstützt die Funktion keine Zertifikatvorlagen mit Version 3 oder neuer – damit sind keine Zertifikatvorlagen nutzbar, welche Funktionen verwenden, die mit Windows Vista / Windows Server 2008 oder neuer eingeführt wurden. Es wird empfohlen, die Zertifizierungsstellen-Webregistrierung nicht einzusetzen und stattdessen eine Beantragung der Zertifikate über Bordmittel oder das PSCertificateEnrollment PowerShell Modul vorzunehmen.
Benötigte Firewallregeln von Clients zur Zertifizierungsstellen-Webregistrierung
Damit Clients die Zertifizierungsstellen-Webregistrierung verwenden können, müssen die diese entweder per HTTP (nicht empfohlen) oder HTTPS aufrufen können.
| Netzwerkprotokoll | Ziel-Port | Protokoll |
|---|---|---|
| TCP | 80 | Hypertext Transfer Protocol (HTTP, nicht empfohlen) |
| TCP | 443 | Hypertext Transfer Protocol Secure (HTTPS) |
Benötigte Firewallregeln von der Zertifizierungsstellen-Webregistrierung zur Zertifizierungsstelle
Ganz analog zu allen anderen Clients sind die Ports für die Zertifikatbeantragung zur Zertifizierungsstelle zu öffnen.
| Netzwerkprotokoll | Ziel-Port | Protokoll |
|---|---|---|
| TCP | 135 | RPC Endpoint Mapper |
| TCP | 49152-65535 | RPC dynamische Ports |
Benötigte Firewallregeln von der Zertifizierungsstelle zur Zertifizierungsstellen-Webregistrierung
Speziell an der CAWE Rolle ist, dass die Zertifizierungsstelle als Antwort auf eine Zertifikatanforderung vom CAWE Server eine Verbindung zu dessen dynamischen RPC Ports zu öffnen versucht. Wenn diese Firewallregel nicht eingerichtet wird, dauert die Beantragung von Zertifikaten über die CAWE sehr lange oder bricht gänzlich ab. Die Firewallregel muss sowohl im Netzwerk als auch auf der lokalen Windows-Firewall des CAWE Servers eingerichtet werden.
| Netzwerkprotokoll | Ziel-Port | Protokoll |
|---|---|---|
| TCP | 135 | RPC Endpoint Mapper |
| TCP | 49152-65535 | RPC dynamische Ports |
Zertifizierungsstellen-Webregistrierung zur Domäne
Der CAWE-Server selbst ist ein Domänenmitglied, sodass hier die allgemeinen Regeln für die Domänenkommunikation zum Tragen kommen.
| Netzwerkprotokoll | Ziel-Port | Protokoll |
|---|---|---|
| TCP und UDP | 53 | Domain Name System |
| TCP | 88 | Kerberos |
| UDP | 123 | NTP |
| TCP | 135 | RPC Endpoint Mapper |
| TCP und UDP | 389 | LDAP |
| TCP | 445 | Server Message Block RPC Named Pipes |
| TCP | 636 | LDAP over SSL |
| TCP | 3268 | LDAP-GC |
| TCP | 3269 | LDAP-GC over SSL |
| TCP | 49152-65535 | RPC dynamische Ports |
Wiederherstellen der Standard Windows-Firewall-Regeln
Bitte beachten, dass die untenstehenden Standard-Regeln nicht die Kommunikation von der Zertifizierungsstelle zur Webregistrierung beinhalten. Hierfür muss eine eigene Firewallregel erstellt werden.
Enable-NetFirewallRule -Name "IIS-WebServerRole-HTTP-In-TCP"
Enable-NetFirewallRule -Name "IIS-WebServerRole-HTTPS-In-TCP"
Weiterführende Links:
- Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung dauert sehr lange
- Benötigte Firewallregeln für Active Directory Certificate Services
- Benötigte Firewallregeln für den Registrierungsdienst für Netzwerkgeräte (NDES)
- Benötigte Firewallregeln für den Zertifikatregistrierungsrichtlinien-Webdienst (CEP)
- Benötigte Firewallregeln für den Zertifikatregistrierungs-Webdienst (CES)
- Benötigte Firewallregeln für den Onlineresponder (OCSP)
Deutsch 
English
6 Gedanken zu „Benötigte Firewallregeln für die Zertifizierungsstellen-Webregistrierung (CAWE)“
Kommentare sind geschlossen.