Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit HTTP Fehlercode 403 "Forbidden: Access is denied."

Folgendes Szenario angenommen:

• Im Netzwerk ist ein Server für die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) installiert.
• Die Rolle ist auf einem separaten Server, nicht auf der Zertifizierungsstelle direkt installiert.
• Ein Benutzer versucht, ein Zertifikat über die Zertifizierungsstellen-Webregistrierung zu beantragen oder eine vorhandene Zertifikatanforderung an die Zertifizierungsstelle zu übermitteln.
• Die Anmeldung des Benutzers an der CAWE schlägt mit HTTP Code 403 "Forbidden: Access is denied." fehl:

You do not have permission to view this directory or page using the credentials that you supplied.

Die Zertifizierungsstellen-Webregistrierung ist eine sehr alte Funktion aus Windows 2000 Zeiten – und wurde zuletzt mit dem Release von Windows Server 2003 angepasst. Entsprechend alt und potentiell unsicher ist der Code. Ebenso unterstützt die Funktion keine Zertifikatvorlagen mit Version 3 oder neuer – damit sind keine Zertifikatvorlagen nutzbar, welche Funktionen verwenden, die mit Windows Vista / Windows Server 2008 oder neuer eingeführt wurden. Es wird empfohlen, die Zertifizierungsstellen-Webregistrierung nicht einzusetzen und stattdessen eine Beantragung der Zertifikate über Bordmittel oder das PSCertificateEnrollment PowerShell Modul vorzunehmen.

Mögliche Ursachen können sein:

• Wenn die CAWE für die Verwendung via SSL konfiguriert ist, sollte überprüft werden, ob die Adresse ohne SSL ("http" Präfix) aufgerufen wurde, und ob der Aufruf mit dem "https" Präfix erfolgreich ist. Es ist üblich und sinnvoll, Verbindungen zur CAWE ohne SSL zu untersagen.

Weiterführende Links:

• Secure Sockets Layer (SSL) für die Zertifizierungsstellen-Webregistrierung (CAWE) aktivieren