Uwe Gradenegger – Seite 52 – Passionate about PKI

Wie sicher ist die Einstellung "Allow private key to be exported" in den Zertifikatvorlagen?

PKI-Administratoren gehen häufig davon aus, dass die Option in der Zertifikatvorlage , den privaten Schlüssel nicht zum Export zu erlauben, verbindlich ist.

Importieren eines Zertifikats in eine Smartcard

Manchmal ist es erforderlich, ein Zertifikat, welches einen Software-Schlüssel verwendet, in eine Smartcards zu importieren.

Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung "The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)"

Folgendes Szenario angenommen:

Man installiert einen Network Device Enrollment Service (NDES) Server
Man verfügt über die erforderlichen Berechtigungen zur Installation der Rolle (lokaler Administrator, Enterprise Administrator)
Die Rollenkonfiguration schlägt mit folgender Fehlermeldung fehl:

The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)

Die Beantragung eines Zertifikats über die Certificate Enrollment Web Services schlägt fehl mit Fehlermeldung "Error: The remote endpoint is unable to process the request due to being overloaded. 0x803d0012 (-2143485934 WS_E_ENDPOINT_TOO_BUSY)"

Folgendes Szenario angenommen:

Ein Benutzer beantragt ein Zertifikat.
Hierfür ist eine Enrollment Policy konfiguriert, welche auf einen Certificate Enrollment Policy Web Service (CEP) verweist.
Die Verbindung zum CEP schlägt fehl, und der Benutzer erhält folgende Fehlermeldung:

Error: The remote endpoint is unable to process the request due to being overloaded. 0x803d0012 (-2143485934 WS_E_ENDPOINT_TOO_BUSY)

Die Beantragung eines Zertifikats über die Certificate Enrollment Web Services schlägt fehl mit Fehlermeldung "Error: A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)"

Folgendes Szenario angenommen:

Ein Benutzer beantragt ein Zertifikat.
Hierfür ist eine Enrollment Policy konfiguriert, welche auf einen Certificate Enrollment Policy Web Service (CEP) verweist.
Die Authentifizierung erfolgt via Kerberos.
Die Beantragung des Zertifikats erfolgt von dem CEP Server selbst.
Die Verbindung zum CEP schlägt fehl, und der Benutzer erhält folgende Fehlermeldung:

Error: A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)

Die Beantragung eines Zertifikats über die Certificate Enrollment Web Services schlägt fehl mit Fehlermeldung "Error: The operation timed out 0x80072ee2 (WinHttp: 12002 ERROR_WINHTTP_TIMEOUT)"

Folgendes Szenario angenommen:

Ein Benutzer beantragt ein Zertifikat.
Hierfür ist eine Enrollment Policy konfiguriert, welche auf einen Certificate Enrollment Policy Web Service (CEP) verweist.
Die Verbindung zum CEP schlägt fehl, und der Benutzer erhält folgende Fehlermeldung:

Error: The operation timed out 0x80072ee2 (WinHttp: 12002 ERROR_WINHTTP_TIMEOUT)

Übersicht über die verschiedenen Generationen von Domänencontroller-Zertifikaten

Über die Generationen der Windows-Betriebssysteme wurden verschiedene Zertifikatvorlagen für Domänencontroller etabliert. In einem aktuellen Active Directory Verzeichnisdienst wird man drei verschiedene Vorlagen für diesen Zweck finden.

Domain Controller
Domain Controller Authentication
Kerberos Authentication

Nachfolgend eine Beschreibung der einzelnen Vorlagen und eine Empfehlung für die Konfiguration von Domänencontroller-Zertifikatvorlagen.

(Massenhaftes) Löschen von Einträgen in der Zertifizierungsstellen-Datenbank (Zertifikate, Anforderungen, Sperrlisten)

Manchmal kommt es vor, dass die Datenbank der Zertifizierungsstelle extrem groß wird. Vielleicht sind unbemerkt sehr viele Zertifikatanforderungen eingetroffen und abgelehnt worden, vielleicht befinden sich auch viele Zertifikate in der Datenbank, die doppelt ausgestellt wurden. Bevor die Zertifizierungsstellen-Datenbank kompaktiert werden kann, müssen diese Einträge zuerst gelöscht werden, um den Speicherplatz in der Datenbank wieder freizugeben.

Kompaktieren (Defragmentieren) der Zertifizierungsstellen-Datenbank

Manchmal kommt es vor, dass die Datenbank der Zertifizierungsstelle extrem groß wird. Vielleicht sind unbemerkt sehr viele Zertifikatanforderungen eingetroffen und abgelehnt worden, vielleicht befinden sich auch viele Zertifikate in der Datenbank, die doppelt ausgestellt wurden. Nachdem die entsprechenden Einträge aus der Zertifizierungsstellen-Datenbank gelöscht wurden, muss (kann) der nun gewonnene Speicherplatz noch durch Kompaktierung dieser im Dateisystem des Servers freigegeben werden.

Einsicht in die Sperrlisten-Tabelle der Zertifizierungsstellen-Datenbank

In der Standardeinstellung speichert die Zertifizierungsstelle alle Sperrlisten, die noch nicht abgelaufen sind, in der Zertifizierungsstellen-Datenbank.

Unter Umständen, etwa durch ein fehlkonfiguriertes Script, werden auf diese Weise sehr viele Sperrlisten in der Datenbank abgespeichert, was zu einem entsprechenden Wachstum der Datenbank führen kann (etwa wenn große Sperrlisten sehr oft neu erstellt werden).

Warum Active Directory integrierte Zertifizierungsstellen Mitglieder der "Pre-Windows 2000 Compatible Access" Sicherheitsgruppe sind

Im Rahmen von Sicherheitshärtungsmaßnahmen gegen den Active Directory Verzeichnisdienst kommt des Öfteren die Frage auf, warum Active Directory integrierte Zertifizierungsstellen (Enterprise Certification Authority) Mitglieder der Sicherheitsgruppe Pre-Windows 2000 Compatible Access sind.

Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung "Failed to enroll RA certificates. The RPC Server is unavailable. 0x800706ba (Win32: 1722 RPC_S_SERVER_UNAVAILABLE)"

Folgendes Szenario angenommen:

Man installiert einen Network Device Enrollment Service (NDES) Server
Man verfügt über die erforderlichen Berechtigungen zur Installation der Rolle (lokaler Administrator, Enterprise Administrator)
Die Rollenkonfiguration schlägt mit folgender Fehlermeldung fehl:

Failed to enroll RA certificates. The RPC Server is unavailable. 0x800706ba (Win32: 1722 RPC_S_SERVER_UNAVAILABLE)

Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung "Failed to enroll RA certificates. The endpoint is a duplicate. 0x800706cc (WIN32: 1740 RPC_S_DUPLICATE_ENDPOINT)"

Folgendes Szenario angenommen:

Man installiert einen Network Device Enrollment Service (NDES) Server.
Man verfügt über die erforderlichen Berechtigungen zur Installation der Rolle (lokaler Administrator, Enterprise Administrator).
Die Rollenkonfiguration schlägt mit folgender Fehlermeldung fehl:

Failed to enroll RA certificates. The endpoint is a duplicate. 0x800706cc (WIN32: 1740 RPC_S_DUPLICATE_ENDPOINT)

Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung "Insufficient access rights to perform this operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)"

Folgendes Szenarion angenommen:

Man installiert einen Network Device Enrollment Service (NDES) Server.
Die Rollenkonfiguration schlägt mit folgender Fehlermeldung fehl:

Insufficient access rights to perform this operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS

Einsicht in den Zertifikatspeicher des Onlineresponders (OCSP) und Überprüfung der Signaturzertifikate

Manchmal ist es notwendig, ein Signaturzertifikats eines Online Responders zu überprüfen, etwa wenn die Verbindung zum (falls vorhanden) Hardware Security Modul (HSM) überprüft werden muss. Der Online-Responder verwendet, wenn die Zertifikate automatisch von einer Zertifizierungsstelle abgerufen werden, einen eigenen Zertifikatspeicher.