Betreiben der Zertifizierungsstelle ohne Exit Modul

Wird eine Zertifizierungsstelle installiert, ist automatisch das "Windows Default" Exit Modul aktiviert. Dieses ermöglicht den Versand von E-Mail Nachrichten bei bestimmten Ereignissen der Zertifizierungsstelle. Die meisten Unternehmen verwenden diese Funktion jedoch überhaupt nicht.

Aber auch wenn das Exitmodul überhaupt nicht verwendet wird, verursacht es Sitzungen auf der Zertifizierungsstellen-Datenbank (siehe Ereignis Nr. 46). Auf Zertifizierungsstellen mit hoher Last kann dies problematisch sein.

Wenn die Funktionen, die es bietet, gar nicht verwendet werden (unter Windows Server Core funktioniert das "Windows Default" Exitmodul grundsätzlich nicht), kann es auch komplett deaktiviert werden.

„Betreiben der Zertifizierungsstelle ohne Exit Modul“ weiterlesen

Wiederherstellen von Zertifikaten aus den Daten des SMTP Exit Moduls

Stellt man eine Zertifizierungsstelle nach einem Katastrophenfall aus einer Sicherung (Backup) wieder her, wird man vermutlich feststellen, dass Zertifikate in dem Zeitraum zwischen der letzten Sicherung und dem Ausfall des Systems mit entsprechendem Datenverlust ausgestellt worden.

Diese Zertifikate sind nun nicht in der wiederhergestellten Zertifizierungsstellen-Datenbank gespeichert, somit können sie im Bedarfsfall auch nicht wiederhergestellt werden.

Hat man das SMTP Exit Modul im Einsatz, kann man aus den versendeten E-Mails wenigstens die Seriennummern der Zertifikate ermitteln und diese widerrufen.

„Wiederherstellen von Zertifikaten aus den Daten des SMTP Exit Moduls“ weiterlesen

Ein Exit Modul für die Zertifizierungsstelle in C# erstellen

Die Microsoft Zertifizierungsstelle bietet die Möglichkeit, eigene Policy- und Exitmodule zu entwickeln, um die Funktionalität der Zertifizierungsstelle zu erweitern.

Nachfolgend die notwendigen Schritte, um ein Exit Modul in C# mit Visual Studio 2019 zu erstellen. Das Exit Modul wird ausgestellte Zertifikate in ein konfigurierbares Verzeichnis im Dateisystem schreiben.

„Ein Exit Modul für die Zertifizierungsstelle in C# erstellen“ weiterlesen

Die Ausstellung von Zertifikaten oder Sperrlisten schlägt fehl mit Fehlercode CERTSRV_E_NO_DB_SESSIONS

Folgendes Szenario angenommen:

  • Die Zertifizierungsstelle kann keine Zertifikate ausstellen und/oder
  • Die Zertifizierungsstelle kann keine Sperrlisten ausstellen.
  • Es wird mindestens eine der folgende Fehlermeldungen protokolliert:

Ereignis-ID: 53 (Microsoft-Windows-CertificationAuthority)

Active Directory Certificate Services denied request 12345 because An attempt was made to open a Certification Authority database session, but there are already too many active sessions. The server may need to be configured to allow additional sessions. 0x8009400f (-2146877425 CERTSRV_E_NO_DB_SESSIONS). The request was for CN=Rudi Ratlos. Additional information: Denied by Policy Module

Ereignis-ID: 130 (Microsoft-Windows-CertificationAuthority)

Active Directory Certificate Services could not create a certificate revocation list. An attempt was made to open a Certification Authority database session, but there are already too many active sessions. The server may need to be configured to allow additional sessions 0x8009400f (-2146877425). This may cause applications that need to check the revocation status of certificates issued by this CA to fail. You can recreate the certificate revocation list manually by running the following command: "certutil -CRL". If the problem persists, restart Certificate Services.
„Die Ausstellung von Zertifikaten oder Sperrlisten schlägt fehl mit Fehlercode CERTSRV_E_NO_DB_SESSIONS“ weiterlesen

Das SMTP Exit Modul funktioniert nicht auf Windows Server Core

Folgendes Szenario angenommen:

  • Es wird eine Zertifizierungsstelle auf Windows Server Core installiert.
  • Es wird das mit der Zertifizierungsstelle mitgelieferte SMTP Exit Modul konfiguriert.
  • Die Zertifizierungsstelle versendet jedoch keine E-Mails.
  • Im Ereignisprotokoll wird das Ereignis Nr. 46 mit folgender Fehlermeldung protokolliert:
The "Windows default" Exit Module "Initialize" method returned an error. Class not registered The returned status code is 0x80040154 (-2147221164). The Certification Authority was unable to initialize email messaging objects.
„Das SMTP Exit Modul funktioniert nicht auf Windows Server Core“ weiterlesen

Kombinieren des SMTP Exit Moduls mit einem lokalen SMTP-Server für erhöhte Ausfallsicherheit

Folgendes Szenario angenommen:

  • Die Zertifizierungsstelle ist nur Nutzung des SMTP Exit Moduls konfiguriert, um E-Mail-Benachrichtigungen über die Ereignisse auf der Zertifizierungsstelle zu versenden.
  • Der konfigurierte SMTP-Server ist nicht immer zuverlässig erreichbar, beispielsweise da er nicht hochverfügbar ausgelegt ist.
  • Bei einem Ausfall des SMTP-Servers wird die Zertifizierungsstelle nur noch sehr langsam arbeiten, da die E-Mail-Benachrichtigungen nicht zugestellt werden können. Unter Umständen wird der Zertifizierungsstellen-Dienst nicht mehr starten.
„Kombinieren des SMTP Exit Moduls mit einem lokalen SMTP-Server für erhöhte Ausfallsicherheit“ weiterlesen

Deaktivieren des SMTP Exit-Moduls einer Zertifizierungsstelle

Folgendes Szenario angenommen:

  • Die Zertifizierungsstelle ist nur Nutzung des SMTP Exit Moduls konfiguriert, um E-Mail Benachrichtigungen über die Ereignisse auf der Zertifizierungsstelle zu versenden.
  • Der konfigurierte SMTP-Server ist nicht erreichbar, beispielsweise aufgrund eines Ausfalls.

In diesem Fall kann das Exit Modul die E-Mail Benachrichtigungen nicht zustellen. Es läuft in einen Timeout, und die Zertifizierungsstelle wird nur noch sehr langsam arbeiten.

„Deaktivieren des SMTP Exit-Moduls einer Zertifizierungsstelle“ weiterlesen