Was passiert, wenn ein Benutzer mehrere Zertifikate beantragt hat?

Ich bin neulich auf das Phänomen getroffen, dass aufgrund einer fehlerhaften Beantragungslogik mehrere Benutzer in regelmäßigen Anständen neue Zertifikatanforderungen gestellt hatten.

Die Zertifikatvorlage war konfiguriert, eingehende Zertifikatanforderungen durch einen Zertifikatmanager freigeben zu lassen, d.h. es erfolgte keine automatische Ausstellung der Zertifkate. Die Zertifikatanforderungen sollten durch einen eigenen Code überprüft und anschließend freigegeben werden.

Man würde nun erwarten, dass (da alle Zertifikatanträge letztendlich genehmigt würden) die Benutzer nun mehrere Zertifikate gleichen Typs in ihrem Zertifikatspeicher (und den Anwendungen, welche diesen nutzen) vorfinden würden. Dem war aber nicht der Fall.

„Was passiert, wenn ein Benutzer mehrere Zertifikate beantragt hat?“ weiterlesen

Grundlagen: Ersetzen (Superseding) von Zertifikatvorlagen

Mit der Einführung der Zertifikatvorlagen der Version 2 zusammen mit Windows XP und Windows Server 2003 wurde die Option eingeführt, dass eine Zertifikatvorlage eine oder mehrere andere ersetzen kann.

Hiermit ist es möglich, ausgestellte Zertifikate durch solche einer anderen Zertifikatvorlage zu ersetzen, oder mehrere Zertifikatvorlagen zu einer einzigen hin zu konsolidieren.

„Grundlagen: Ersetzen (Superseding) von Zertifikatvorlagen“ weiterlesen

Die Beantragung von Remotedesktop-Zertifikaten schlägt fehl mit Fehlermeldung "The permissions on the certificate template do not allow the current user to enroll for this type of certificate."

Folgendes Szenario angenommen:

The RD Session Host server cannot install a new template-based certificate to be used for Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) authentication and encryption. The following error occurred: The permissions on the certificate template do not allow the current user to enroll for this type of certificate.
„Die Beantragung von Remotedesktop-Zertifikaten schlägt fehl mit Fehlermeldung "The permissions on the certificate template do not allow the current user to enroll for this type of certificate."“ weiterlesen

Die Beantragung von Remotedesktop-Zertifikaten schlägt fehl mit Fehlermeldung "The requested certificate template is not supported by this CA."

Folgendes Szenario angenommen:

The RD Session Host server cannot install a new template-based certificate to be used for Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) authentication and encryption. The following error occurred: The requested certificate template is not supported by this CA.
„Die Beantragung von Remotedesktop-Zertifikaten schlägt fehl mit Fehlermeldung "The requested certificate template is not supported by this CA."“ weiterlesen

Der lokale Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen wird nicht aus dem Active Directory synchronisiert

Folgendes Szenarion angenommen:

  • Es ist eine Zertifizierungsstellen-Hierarchie im Netzwerk etabliert und die Stammzertifizierungsstelle ist in der Configuration-Partition der Active Directory Gesamtstruktur abgebildet.
  • Die Domänenmitglieder sind konfiguriert, den Autoenrollment-Prozess auszuführen und somit vertrauenswürdige Stammzertifizierungsstellen aus der Configuration-Partition zu aktualisieren.
  • Bei einigen Clients funktioniert dieser Prozess allerdings nicht. Die Stammzertifizierungsstellen-Zertifikate werden nicht automatisch heruntergeladen und in den lokalen Vertrauensspeicher eingetragen.
  • Als Folgeerscheinung können Zertifikatbeantragungen fehlschlagen, da beispielsweise der Zertifizierungsstellen-Hierarchie nicht vertraut wird.
„Der lokale Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen wird nicht aus dem Active Directory synchronisiert“ weiterlesen

Zertifikatanforderungen für den Onlineresponder (OCSP) schlagen sporadisch fehl mit Fehlermeldung "The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)"

Folgendes Szenario angenommen:

  • Es ist ein Onlineresponder (OCSP) im Netzwerk eingerichtet.
  • Die Zertifizierungsstellen melden in unregelmäßigen Abständen, dass Zertifikatanforderungen für die OCSP-Antwortsignaturzertifikate mit folgender Fehlermeldung fehlschlagen:
The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK).
„Zertifikatanforderungen für den Onlineresponder (OCSP) schlagen sporadisch fehl mit Fehlermeldung "The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)"“ weiterlesen

Den Autoenrollment Prozess für den angemeldeten Benutzer programmatisch auslösen

Folgendes Szenario angenommen:

  • Man schreibt ein Script oder eine Anwendung, die den Autoenrollment Prozess für den aktuell angemeldeten Benutzer auslösen soll.
  • Man stellt hierbei fest, dass der geplante Task nicht ausgeführt werden kann.
  • Die Fehlermeldung lautet:
The user account does not have permissions to run this task.
„Den Autoenrollment Prozess für den angemeldeten Benutzer programmatisch auslösen“ weiterlesen

Protokollierung für die automatische Zertifikatbeantragung (Autoenrollment) aktivieren

Nachfolgend eine Übersicht über die für die von Windows-Zertifikat-Clients erzeugten Ereignisse in der Windows-Ereignisanzeige, deren Aktivierung und deren Identifikation.

„Protokollierung für die automatische Zertifikatbeantragung (Autoenrollment) aktivieren“ weiterlesen

Fehlersuche für die automatische Zertifikatbeantragung (Autoenrollment) via RPC/DCOM

Folgendes Szenario angenommen:

  • Es ist eine Zertifikatvorlage für die automatische Beantragung von Zertifikaten konfiguriert (Autoenrollment).
  • Die Zertifikatvorlage ist auf einer ins Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) veröffentlicht.
  • Die für die automatische Zertifikatbeantragung konfigurierten Benutzer oder Computer beantragen allerdings nicht wie vorgesehen Zertifikate.

Nachfolgend eine Anleitung zur Fehlersuche.

„Fehlersuche für die automatische Zertifikatbeantragung (Autoenrollment) via RPC/DCOM“ weiterlesen

Details zum Ereignis mit ID 95 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll

Ereignisquelle:Microsoft-Windows-CertificateServicesClient-CertEnroll
Ereignis-ID:95 (0x425A005F)
Ereignisprotokoll:Application
Ereignistyp:Information
Ereignistext (englisch):Successfully installed Logon Certificate for %1 Request thumbprint: %2 Thumbprint: %3 Process: %4
Ereignistext (deutsch):Das Anmeldezertifikat für %1 wurde erfolgreich installiert. Anforderungsfingerabdruck: %2 Fingerabdruck: %3 Prozess: %4
„Details zum Ereignis mit ID 95 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll“ weiterlesen

Details zum Ereignis mit ID 94 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll

Ereignisquelle:Microsoft-Windows-CertificateServicesClient-CertEnroll
Ereignis-ID:94 (0xC25A005E)
Ereignisprotokoll:Application
Ereignistyp:Error
Ereignistext (englisch):Failed to install Logon Certificate for %1 failed Request thumbprint: %2 Thumbprint: %3 %4 Process: %5 %6
Ereignistext (deutsch):Fehler beim Installieren des Anmeldezertifikats für %1 Anforderungsfingerabdruck: %2 Fingerabdruck: %3 %4 Prozess: %5 %6
„Details zum Ereignis mit ID 94 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll“ weiterlesen

Details zum Ereignis mit ID 96 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll

Ereignisquelle:Microsoft-Windows-CertificateServicesClient-CertEnroll
Ereignis-ID:96 (0xC25A0060)
Ereignisprotokoll:Application
Ereignistyp:Error
Ereignistext (englisch):Failed to remove Logon Certificate request for %1 Request thumbprint: %2 Process: %3 %4
Ereignistext (deutsch):Fehler beim Entfernen der Anmeldezertifikatanforderung für %1 Anforderungsfingerabdruck: %2 Prozess: %3 %4
„Details zum Ereignis mit ID 96 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll“ weiterlesen

Details zum Ereignis mit ID 98 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll

Ereignisquelle:Microsoft-Windows-CertificateServicesClient-CertEnroll
Ereignis-ID:98 (0xC25A0062)
Ereignisprotokoll:Application
Ereignistyp:Error
Ereignistext (englisch):Failed to import PFX Certificate for %1 Flags: %2 Provider: %3 Container: %4 Process: %5 %6
Ereignistext (deutsch):Fehler beim Importieren des PFX-Zertifikats für %1 Flags: %2 Anbieter: %3 Container: %4 Prozess: %5 %6
„Details zum Ereignis mit ID 98 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll“ weiterlesen

Details zum Ereignis mit ID 93 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll

Ereignisquelle:Microsoft-Windows-CertificateServicesClient-CertEnroll
Ereignis-ID:93 (0x425A005D)
Ereignisprotokoll:Application
Ereignistyp:Information
Ereignistext (englisch):Logon Certificate Request creation for %1 succeeded for the %2 template for key %3 Request thumbprint: %4 Process: %5
Ereignistext (deutsch):Die Anmeldezertifikatanforderung für %1 für die %2-Vorlage für Schlüssel %3 wurde erfolgreich erstellt. Anforderungsfingerabdruck: %4 Prozess: %5
„Details zum Ereignis mit ID 93 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll“ weiterlesen

Details zum Ereignis mit ID 97 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll

Ereignisquelle:Microsoft-Windows-CertificateServicesClient-CertEnroll
Ereignis-ID:97 (0x825A0061)
Ereignisprotokoll:Application
Ereignistyp:Warning
Ereignistext (englisch):Successfully removed Logon Certificate request for %1 Request thumbprint: %2 Process: %3
Ereignistext (deutsch):Die Anmeldezertifikatanforderung für %1 wurde erfolgreich entfernt. Anforderungsfingerabdruck: %2 Prozess: %3
„Details zum Ereignis mit ID 97 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll“ weiterlesen
de_DEDeutsch