Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit HTTP Fehlercode 500 "Internal Server error"

Autor Uwe GradeneggerVeröffentlicht am Kategorien Troubleshooting, Zertifizierungsstellen-Webregistrierung (CAWE)Schlagwörter ,

Folgendes Szenario angenommen:

  • Im Netzwerk ist ein Server für die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) installiert.
  • Die Rolle ist auf einem separaten Server, nicht auf der Zertifizierungsstelle direkt installiert.
  • Ein Benutzer versucht, ein Zertifikat über die Zertifizierungsstellen-Webregistrierung zu beantragen oder eine vorhandene Zertifikatanforderung an die Zertifizierungsstelle zu übermitteln.
  • Die Beantragung dauert sehr lange und schlägt letztendlich mit HTTP Code 500 "Internal server error" fehl:
There is a problem with the resource you are looking for, and it cannot be displayed.

Die Zertifizierungsstellen-Webregistrierung ist eine sehr alte Funktion aus Windows 2000 Zeiten – und wurde zuletzt mit dem Release von Windows Server 2003 angepasst. Entsprechend alt und potentiell unsicher ist der Code. Ebenso unterstützt die Funktion keine Zertifikatvorlagen mit Version 3 oder neuer – damit sind keine Zertifikatvorlagen nutzbar, welche Funktionen verwenden, die mit Windows Vista / Windows Server 2008 oder neuer eingeführt wurden. Es wird empfohlen, die Zertifizierungsstellen-Webregistrierung nicht einzusetzen und stattdessen eine Beantragung der Zertifikate über Bordmittel oder das PSCertificateEnrollment PowerShell Modul vorzunehmen.

Dieser Fehler tritt auf, wenn die Zertifizierungsstelle keine Verbindung zum CAWE-Server auf TCP Port 135 aufbauen kann.

Betrachtet man die Firewall-Protokolle, stellt man fest, dass während der Beantragung eine Verbindung von der Zertifizierungsstelle zum CAWE-Server versucht wird, welche von diesem jedoch verworfen wird.

Um das Problem zu beheben, sollten sowohl in der lokalen Windows Firewall des CAWE Servers als auch auf einer eventuell vorhanden Netzwerkfirewall folgende Firewallregeln für die Kommunikation von der Zertifizierungsstelle zum CAWE Server eingerichtet werden:

NetzwerkprotokollZiel-PortProtokoll
TCP135RPC Endpoint Mapper
TCP49152-65535RPC dynamische Ports

Weiterführende Links:

de_DEDeutsch
en_USEnglish de_DEDeutsch