Benötigte Firewallregeln für den Zertifikatregistrierungsrichtlinien-Webdienst (CEP)

Autor Uwe GradeneggerVeröffentlicht am Kategorien Zertifikatregistrierungs-WebdiensteSchlagwörter ,

Implementiert man einen Zertifikatregistrierungsrichtlinien-Webdienst (CEP), ist oft eine Planung der im Netzwerk zu erstellenden Firewallregeln erforderlich. Nachfolgend eine Aufstellung der benötigten Firewallregeln und eventueller Fallstricke.

Die Zertifikatregistrierungs-Webdienste (Certificate Enrollment Policy Web Service, CEP und Certificate Enrollment Web Service, CES) ermöglichen die automatische Beantragung und Erneuerung von Zertifikaten einer Zertifizierungsstelle über eine Webbasierte Schnittstelle. Somit ist kein direkter Kontakt zur Zertifizierungsstelle über Remote Procedure Call (RPC) notwendig. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Zertifikatbeantragung über Certificate Enrollment Web Services (CEP, CES)".

Clients zum CEP

Der CEP ist ein Dienst, welcher per HTTPS angesprochen wird. Entsprechend wird der TCP-Port 443 geöffnet.

NetzwerkprotokollZiel-PortBeschreibung
TCP443Hypertext Transfer Protocol Secure (HTTPS)

CEP zur Zertifizierungsstelle

Der CEP kommuniziert nicht mit der Zertifizierungsstelle und benötigt daher keine entsprechenden Firewallregeln.

CEP zur Domäne

Der CEP Server ist üblicherweise ein Domänenmitglied, sodass hier die allgemeinen Regeln für die Domänenkommunikation zum Tragen kommen.

NetzwerkprotokollZiel-PortProtokoll
TCP und UDP53Domain Name System
TCP88Kerberos
UDP123NTP
TCP135RPC Endpoint Mapper
TCP und UDP389LDAP
TCP445Server Message Block
RPC Named Pipes
TCP636LDAP over SSL
TCP3268LDAP-GC
TCP3269LDAP-GC over SSL
TCP49152-65535RPC dynamische Ports

Wiederherstellen der Standard Windows-Firewall-Regeln 

Enable-NetFirewallRule -Name "IIS-WebServerRole-HTTP-In-TCP"
Enable-NetFirewallRule -Name "IIS-WebServerRole-HTTPS-In-TCP"

Weiterführende Links:

de_DEDeutsch
en_USEnglish de_DEDeutsch