Zertifikatregistrierungs-Webdienst (CES) – Seite 2 – Uwe Gradenegger

Einordnung der ADCS-Komponenten in das administrative Schichtenmodell (Administrative Tiering Model)

Implementiert man neben den Active Directory Certificate Services auch das administrative Schichtenmodell (Administrative Tiering Model) für den Active Directory Verzeichnisdienst, stellt sich die Frage der Zuordnung der einzelnen PKI-Komponenten in dieses Modell, um eine zielgerichtete Sicherheitshärtung vornehmen zu können.

Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit dem Fehlercode "WS_E_ENDPOINT_FAULT_RECEIVED"

Folgendes Szenario angenommen:

Es ist ein Certificate Enrollment Web Service (CES) im Netzwerk implementiert.
Es wird eine Zertifikatanforderung an den CES gesendet.
Die Beantragung des Zertifikats schlägt mit folgender Fehlermeldung fehl:

A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)

Benötigte Windows-Sicherheitsberechtigungen für den Zertifikatregistrierungs-Webdienst (CES)

Angenommen, man implementiert das Active Directory-Verwaltungsebenenmodell (Administrative Tiering Model) von Microsoft, oder wendet vergleichbare Härtungsmaßnahmen auf seinen Servern an, hat dies Auswirkungen auf die CES Komponenten.

Benötigte Firewallregeln für den Zertifikatregistrierungs-Webdienst (CES)

Implementiert man einen Zertifikatregistrierungs-Webdienst (CES), ist oft eine Planung der im Netzwerk zu erstellenden Firewallregeln erforderlich. Nachfolgend eine Aufstellung der benötigten Firewallregeln und eventueller Fallstricke.

Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlercode "ERROR_INTERNET_NAME_NOT_RESOLVED"

Folgendes Szenario angenommen:

Man versucht, ein Zertifikat über einen Certificate Enrollment Web Service (CEP) von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
Der Vorgang schlägt mit folgender Fehlermeldung fehl:

The name or address could not be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED)

Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlercode "ERROR_INTERNET_TIMEOUT"

Folgendes Szenario angenommen:

Man versucht, ein Zertifikat über einen Certificate Enrollment Web Service (CEP) von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
Der Vorgang schlägt mit folgender Fehlermeldung fehl:

The operation timed out 0x80072ee2 (INet: 12002 ERROR_INTERNET_TIMEOUT)

Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlercode "WS_E_ENDPOINT_FAILURE"

Folgendes Szenario angenommen:

Man versucht, ein Zertifikat über einen Certificate Enrollment Web Service (CEP) von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
Der Vorgang schlägt mit folgender Fehlermeldung fehl:

The remote endpoint could not process the request. 0x803d000f (-2143485937 WS_E_ENDPOINT_FAILURE)

Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlercode "WS_E_INVALID_ENDPOINT_URL"

Folgendes Szenario angenommen:

Man versucht, ein Zertifikat über einen Certificate Enrollment Web Service (CEP) von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
Der Vorgang schlägt mit folgender Fehlermeldung fehl:

Certificate Request Processor: The endpoint address URL is invalid. 0x803d0020 (-2143485920 WS_E_INVALID_ENDPOINT_URL)

Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlercode "WS_E_ENDPOINT_UNREACHABLE"

Folgendes Szenario angenommen:

Man versucht, ein Zertifikat über einen Certificate Enrollment Web Service (CEP) von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
Der Vorgang schlägt mit folgender Fehlermeldung fehl:

The remote endpoint was not reachable. 0x803d0010 (-2143485936 WS_E_ENDPOINT_UNREACHABLE)

Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlercode "ERROR_WINHTTP_CANNOT_CONNECT"

Folgendes Szenario angenommen:

Man versucht, ein Zertifikat über einen Certificate Enrollment Web Service (CEP) von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
Der Vorgang schlägt mit folgender Fehlermeldung fehl:

Certificate Request Processor: A connection with the server could not be established 0x80072efd (WinHttp: 12029 ERROR_WINHTTP_CANNOT_CONNECT)

Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlercode "ERROR_WINHTTP_TIMEOUT"

Folgendes Szenario angenommen:

Man versucht, ein Zertifikat über einen Certificate Enrollment Web Service (CEP) von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
Der Vorgang schlägt mit folgender Fehlermeldung fehl:

Certificate Request Processor: The operation timed out 0x80072ee2 (WinHttp: 12002 ERROR_WINHTTP_TIMEOUT)

Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlercode "ERROR_WINHTTP_NAME_NOT_RESOLVED"

Folgendes Szenario angenommen:

Man versucht, ein Zertifikat über einen Certificate Enrollment Web Service (CEP) von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
Der Vorgang schlägt mit folgender Fehlermeldung fehl:

Certificate Request Processor: The server name or address could not be resolved 0x80072ee7 (WinHttp: 12007 ERROR_WINHTTP_NAME_NOT_RESOLVED)

Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlercode "ERROR_WINHTTP_INVALID_CA"

Folgendes Szenario angenommen:

Man versucht, ein Zertifikat über einen Certificate Enrollment Web Service (CEP) von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
Der Vorgang schlägt mit folgender Fehlermeldung fehl:

Die Zertifizierungsstelle ist ungültig oder fehlerhaft. 0x80072f0d (WinHttp: 12045 ERROR_WINHTTP_SECURE_INVALID_CA)

Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlercode "WS_E_OPERATION_TIMED_OUT"

Folgendes Szenario angenommen:

Man versucht, ein Zertifikat über einen Certificate Enrollment Web Service (CEP) von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
Der Vorgang schlägt mit folgender Fehlermeldung fehl:

Certificate Request Processor: The operation did not complete within the time allotted. 0x803d0006 (-2143485946 WS_E_OPERATION_TIMED_OUT)

Die Beantragung eines Zertifikats über den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung "A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted."

Folgendes Szenario angenommen:

Man versucht, ein Zertifikat über einen Certificate Enrollment Policy Web Service (CEP) von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
Hierzu verwendet man die Microsoft Management Konsole (MMC), entweder für den angemeldeten Benutzer (certmgr.msc) oder für den Computer (certlm.msc).
Die Liste der verfügbaren Zertifikatvorlagen innerhalb der MMC ist jedoch komplett leer.
In der Liste der verfügbaren Zertifikatvorlagen innerhalb der MMC lässt man sich alle Zertifikatvorlagen anzeigen. Bei allen gewünschten Zertifikatvorlagen steht:

Cannot find Object or property.
A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted.

Deutsch