Der Zertifikatregistrierungs-Richtliniendienst zeigt Zertifikatvorlagen, die auf Kompatibilität mit Windows Server 2016 oder Windows 10 konfiguriert sind, nicht an

Es gibt einen bekannten Fehler im Zertifikatregistrierungs-Richtlinienwebdienst (Certificate Enrollment Policy Web Service, CEP), der dazu führt, dass Zertifikatvorlagen, die auf Kompatibilität mit Windows Server 2016 bzw. Windows 10 konfiguriert sind, nicht angezeigt werden.

„Der Zertifikatregistrierungs-Richtliniendienst zeigt Zertifikatvorlagen, die auf Kompatibilität mit Windows Server 2016 oder Windows 10 konfiguriert sind, nicht an“ weiterlesen

Die Beantragung eines Zertifikats über die Zertifikatregistrierungs-Webdienste mittels Windows PowerShell schlägt fehlt mit Fehlermeldung "Access was denied by the remote endpoint. 0x803d0005 (-2143485947 WS_E_ENDPOINT_ACCESS_DENIED)"

Folgendes Szenario angenommen:

  • Es wird versucht, ein Zertifikat via Windows PowerShell über die Zertifikatbeantragungs-Richtliniendienste (Certificate Enrollment Web Services) zu beantragen.
  • Die Beantragung schlägt mit folgender Fehlermeldung fehl:
Get-Certificate : CX509EnrollmentPolicyWebService::LoadPolicy: Access was denied by the remote endpoint. 0x803d0005 (-2143485947 WS_E_ENDPOINT_ACCESS_DENIED)
„Die Beantragung eines Zertifikats über die Zertifikatregistrierungs-Webdienste mittels Windows PowerShell schlägt fehlt mit Fehlermeldung "Access was denied by the remote endpoint. 0x803d0005 (-2143485947 WS_E_ENDPOINT_ACCESS_DENIED)"“ weiterlesen

Die Beantragung eines Zertifikats über die Zertifikatregistrierungs-Webdienste mittels Windows PowerShell schlägt fehlt mit Fehlermeldung "Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)"

Folgendes Szenario angenommen:

  • Es wird versucht, ein Zertifikat via Windows PowerShell über die Zertifikatbeantragungs-Richtliniendienste (Certificate Enrollment Web Services) zu beantragen. Der Name der Zertifikatvorlage wird mit dem -Template Argument mit angegeben.
  • Die Beantragung schlägt mit folgender Fehlermeldung fehl:
Get-Certificate : CertEnroll::CX509CertificateTemplates::get_ItemByName: Cannot find object or property. 0x80092004
(-2146885628 CRYPT_E_NOT_FOUND)
„Die Beantragung eines Zertifikats über die Zertifikatregistrierungs-Webdienste mittels Windows PowerShell schlägt fehlt mit Fehlermeldung "Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)"“ weiterlesen

Benötigte Windows-Sicherheitsberechtigungen für den Certificate Enrollment Policy Web Service (CEP)

Angenommen, man implementiert das Active Directory-Verwaltungsebenenmodell (Administrative Tiering Model) von Microsoft, oder wendet vergleichbare Härtungsmaßnahmen auf seinen Servern an, hat dies Auswirkungen auf die CEP Komponenten.

„Benötigte Windows-Sicherheitsberechtigungen für den Certificate Enrollment Policy Web Service (CEP)“ weiterlesen

Einordnung der ADCS-Komponenten in das administrative Schichtenmodell (Administrative Tiering Model)

Implementiert man neben den Active Directory Certificate Services auch das administrative Schichtenmodell (Administrative Tiering Model) für den Active Directory Verzeichnisdienst, stellt sich die Frage der Zuordnung der einzelnen PKI-Komponenten in dieses Modell, um eine zielgerichtete Sicherheitshärtung vornehmen zu können.

„Einordnung der ADCS-Komponenten in das administrative Schichtenmodell (Administrative Tiering Model)“ weiterlesen

Funktionstest durchführen für den Certificate Enrollment Policy Web Service (CEP)

Nach der Installation einer Zertifikatbeantragungs-Richtlinienservers (Certificate Enrollment Policy Web Service, CEP), oder nach umfangreicheren Wartungsarbeiten sollte ein ausgiebiger Funktionstest erfolgen, um sicherzustellen, dass alle Komponenten wie gewünscht arbeiten.

„Funktionstest durchführen für den Certificate Enrollment Policy Web Service (CEP)“ weiterlesen

Den Certificate Enrollment Web Service (CES) für den Betrieb mit einem Group Managed Service Account (gMSA) konfigurieren

Aus Sicherheitsgründen kann es sinnvoll sein, den CES statt mit einem normalen Domänenkonto lieber mit einem Group Managed Service Account (gMSA) zu betreiben. Diese Option bietet den charmanten Vorteil, dass das Passwort des Kontos automatisch geändert wird, und dieser Schritt somit nicht von Hand vorgenommen werden muss, was leider viel zu oft vergessen wird.

„Den Certificate Enrollment Web Service (CES) für den Betrieb mit einem Group Managed Service Account (gMSA) konfigurieren“ weiterlesen

Benötigte Firewallregeln für den Zertifikatregistrierungsrichtlinien-Webdienst (CEP)

Implementiert man einen Zertifikatregistrierungsrichtlinien-Webdienst (CEP), ist oft eine Planung der im Netzwerk zu erstellenden Firewallregeln erforderlich. Nachfolgend eine Aufstellung der benötigten Firewallregeln und eventueller Fallstricke.

„Benötigte Firewallregeln für den Zertifikatregistrierungsrichtlinien-Webdienst (CEP)“ weiterlesen

Die Beantragung eines Zertifkats über den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung "The requested certificate template is not supported by this CA."

Folgendes Szenario angenommen:

  • Man versucht, ein Zertifikat über einen Certificate Enrollment Policy Web Service (CEP) von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
  • Der Vorgang schlägt mit folgender Fehlermeldung fehl:
The requested certificate template is not supported by this CA.
„Die Beantragung eines Zertifkats über den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung "The requested certificate template is not supported by this CA."“ weiterlesen

Debug Protokollierung für den Certificate Enrollment Policy Web Service (CEP) aktivieren

Versucht man, einem Fehler im Certificate Enrollment Policy Web Service (CEP) auf die Spur zu kommen, ist es hilfreich, das Debug Logging zu aktivieren.

„Debug Protokollierung für den Certificate Enrollment Policy Web Service (CEP) aktivieren“ weiterlesen

Die Beantragung eines Zertifkats über den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung "ERROR_WINHTTP_CONNECTION_ERROR"

Folgendes Szenario angenommen:

  • Man versucht, ein Zertifikat über einen Certificate Enrollment Policy Web Service (CEP) von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
  • Der Vorgang schlägt mit folgender Fehlermeldung fehl:
Fehler: Die Serververbindung wurde aufgrund eines Fehlers beendet. 0x80072efe (WinHttp:12030) ERROR_WINHTTP_CONNECTION_ERROR
„Die Beantragung eines Zertifkats über den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung "ERROR_WINHTTP_CONNECTION_ERROR"“ weiterlesen

Die Beantragung eines Zertifikats über den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung "A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted."

Folgendes Szenario angenommen:

  • Man versucht, ein Zertifikat über einen Certificate Enrollment Policy Web Service (CEP) von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
  • Hierzu verwendet man die Microsoft Management Konsole (MMC), entweder für den angemeldeten Benutzer (certmgr.msc) oder für den Computer (certlm.msc).
  • Die Liste der verfügbaren Zertifikatvorlagen innerhalb der MMC ist jedoch komplett leer.
  • In der Liste der verfügbaren Zertifikatvorlagen innerhalb der MMC lässt man sich alle Zertifikatvorlagen anzeigen. Bei allen gewünschten Zertifikatvorlagen steht:
Cannot find Object or property.
A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted. 
„Die Beantragung eines Zertifikats über den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung "A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted."“ weiterlesen

Die Beantragung eines Zertifikats über den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung "Error: Access was denied by the remote endpoint. 0x803d0005 -2143485947 WS_E_ENDPOINT_ACCESS_DENIED"

Folgendes Szenario angenommen:

  • Ein Benutzer beantragt ein Zertifikat.
  • Hierfür ist eine Enrollment Policy konfiguriert, welche auf einen Certificate Enrollment Policy Web Service (CEP) verweist.
  • Die Verbindung zum CEP schlägt fehl, und der Benutzer erhält folgende Fehlermeldung:
Error: Access was denied by the remote endpoint. 0x803d0005 -2143485947 WS_E_ENDPOINT_ACCESS_DENIED
„Die Beantragung eines Zertifikats über den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung "Error: Access was denied by the remote endpoint. 0x803d0005 -2143485947 WS_E_ENDPOINT_ACCESS_DENIED"“ weiterlesen

Die Rollenkonfiguration für den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung "Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)"

Folgendes Szenarion angenommen:

  • Es wird eine Rollenkonfiguration für den Certificate Enrollment Policy Web Service (CEP) durchgeführt.
  • Die Rollenkonfiguration schlägt mit folgender Fehlermeldung fehl:
CCertificateEnrollmentPolicyServerSetup::InitializeInstallDefaults: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
„Die Rollenkonfiguration für den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung "Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)"“ weiterlesen

Die Rollenkonfiguration für den Certificate Enrollment Policy Web Service schlägt fehl mit Fehlermeldung "The argument is null or empty."

Folgendes Szenarion angenommen:

  • Es wird eine Rollenkonfiguration für den Certificate Enrollment Policy Web Service (CEP) mittels PowersShell (Install-AdcsEnrollmentPolicyWebService) durchgeführt.
  • Die Rollenkonfiguration schlägt mit folgender Fehlermeldung fehl:
Cannot validate argument on parameter 'SSLCertThumbprint'. The argument is null or empty. Provide an argument that is not null or empty, and then try the command again.
„Die Rollenkonfiguration für den Certificate Enrollment Policy Web Service schlägt fehl mit Fehlermeldung "The argument is null or empty."“ weiterlesen
de_DEDeutsch