Was passiert, wenn ein Benutzer mehrere Zertifikate beantragt hat?

Ich bin neulich auf das Phänomen getroffen, dass aufgrund einer fehlerhaften Beantragungslogik mehrere Benutzer in regelmäßigen Anständen neue Zertifikatanforderungen gestellt hatten.

Die Zertifikatvorlage war konfiguriert, eingehende Zertifikatanforderungen durch einen Zertifikatmanager freigeben zu lassen, d.h. es erfolgte keine automatische Ausstellung der Zertifkate. Die Zertifikatanforderungen sollten durch einen eigenen Code überprüft und anschließend freigegeben werden.

Man würde nun erwarten, dass (da alle Zertifikatanträge letztendlich genehmigt würden) die Benutzer nun mehrere Zertifikate gleichen Typs in ihrem Zertifikatspeicher (und den Anwendungen, welche diesen nutzen) vorfinden würden. Dem war aber nicht der Fall.

„Was passiert, wenn ein Benutzer mehrere Zertifikate beantragt hat?“ weiterlesen

Die Beantragung von Remotedesktop-Zertifikaten schlägt fehl mit Fehlermeldung "The permissions on the certificate template do not allow the current user to enroll for this type of certificate."

Folgendes Szenario angenommen:

The RD Session Host server cannot install a new template-based certificate to be used for Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) authentication and encryption. The following error occurred: The permissions on the certificate template do not allow the current user to enroll for this type of certificate.
„Die Beantragung von Remotedesktop-Zertifikaten schlägt fehl mit Fehlermeldung "The permissions on the certificate template do not allow the current user to enroll for this type of certificate."“ weiterlesen

Die Beantragung von Remotedesktop-Zertifikaten schlägt fehl mit Fehlermeldung "The requested certificate template is not supported by this CA."

Folgendes Szenario angenommen:

The RD Session Host server cannot install a new template-based certificate to be used for Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) authentication and encryption. The following error occurred: The requested certificate template is not supported by this CA.
„Die Beantragung von Remotedesktop-Zertifikaten schlägt fehl mit Fehlermeldung "The requested certificate template is not supported by this CA."“ weiterlesen

Die Deinstallation eines Windows-Features schlägt fehl mit Fehlermeldung "The service is configured to not accept any remote shell requests."

Folgendes Szenario angenommen:

  • Eine Windows-Rolle betreffend Active Directory Certificate Services (Zertifzierungsstelle, Registrierungsdienst für Netzwerkgeräte (NDES), Zertifizierungsstellen-Webregistrierung (CAWE), Zertifikatregistrierungs-Webdienste (CEP, CES) oder Onlineresponder (OCSP)) soll deinstalliert werden.
  • Die Deinstallation schlägt fehl mit folgender Fehlermeldung:
The status of the role services on the target machine cannot be determined. Please retry. The error is The WS-Management service cannot process the request. The service is configured to not accept any remote shell requests.
„Die Deinstallation eines Windows-Features schlägt fehl mit Fehlermeldung "The service is configured to not accept any remote shell requests."“ weiterlesen

Die erweiterte Schlüsselverwendung (Extended Key Usage, EKU) für importierte Stammzertifizierungstellen-Zertifikate einschränken

Eine sinnvolle Härtungsmaßnahme für Zertifizierungsstellen ist das Einschränken der Zertifizierungsstellen-Zertifikate, sodass diesen nur für die tatsächlich ausgestellten erweiterten Schlüsselverwendungen (Extended Key Usage) vertraut wird.

Im Fall einer Kompromittierung der Zertifizierungsstelle ist der Schaden dann auf diese Extended Key Usages beschränkt. Das Smart Card Logon Extended Key Usage wäre dann nur in dem Zertifizierungsstellen-Zertifikat derjenigen Zertifizierungsstelle, die auch tatsächlich solche Zertifikate ausstellt, vorhanden.

„Die erweiterte Schlüsselverwendung (Extended Key Usage, EKU) für importierte Stammzertifizierungstellen-Zertifikate einschränken“ weiterlesen

Konfiguration der Überwachung von Sicherheitsereignissen (Auditierungseinstellungen) für Zertifizierungsstellen

Im Gegensatz zu betrieblichen Ereignissen, die oft unter dem Begriff "Monitoring" verstanden werden, handelt es sich bei der Auditierung für die Zertifizierungsstelle um die Konfiguration der Protokollierung von sicherheitsrelevanten Ereignissen.

„Konfiguration der Überwachung von Sicherheitsereignissen (Auditierungseinstellungen) für Zertifizierungsstellen“ weiterlesen

Standard-Auditierungsregeln für Windows Server Betriebssysteme

Sobald eine Gruppenrichtlinie mit Auditeinstellungen aktiv ist, werden die Standard-Auditierungs-Regeln, die mit dem Betriebssystem vorkonfiguriert sind, ausgeschaltet und nur noch die explizit konfigurierten Auditeinstellungen angewendet.

„Standard-Auditierungsregeln für Windows Server Betriebssysteme“ weiterlesen

Identifizieren des aktiven Remotedesktop (RDP) Zertifikats

Hat man eine Zertifikatvorlage für Remotedesktop-Zertifikate und eine entsprechende Gruppenrichtlinine konfiguriert, oder ein Remotedesktop-Zertifikat manuell zugewiesen, möchte man vielleicht überprüfen, ob die Zertifikate auf den teilnehmenden Computern auch korrekt vom Remotedesktop-Sitzungshost verwendet werden.

„Identifizieren des aktiven Remotedesktop (RDP) Zertifikats“ weiterlesen

Konfigurieren einer Gruppenrichtlinie (GPO) für Remotedesktop (RDP) Zertifikate

Nachdem eine Zertifikatvorlage für die Verteilung von Remotedesktop-Zertifikaten konfiguriert wurde (siehe Artikel "Konfigurieren einer Zertifikatvorlage für Remotedesktop (RDP) Zertifikate"), wird noch eine Gruppenrichtlinie benötigt, welche die teilnehmenden Computer anweist, die von der Vorlage stammenden Zertifikate auch zu verwenden.

„Konfigurieren einer Gruppenrichtlinie (GPO) für Remotedesktop (RDP) Zertifikate“ weiterlesen

Über Virtual Private Network (VPN) verbundene Clients erneuern Zertifikate nicht automatisch

Folgendes Szenario angenommen:

  • Clientcomputer beziehen automatisch Zertifikate von einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority).
  • Ablaufende Zertifikate werden automatisch erneuert, wenn die Clients sich im internen Netzwerk befinden.
  • Ablaufende Zertifikate werden jedoch nicht automatisch erneuert, wenn die Clients über Virtual Private Network (VPN) verbunden sind.
  • Dies kann dazu führen, dass Clients ihr Zertifikat nicht mehr rechtzeitig vor Ablauf erneuern und sich nicht mehr mit dem VPN verbinden können.
„Über Virtual Private Network (VPN) verbundene Clients erneuern Zertifikate nicht automatisch“ weiterlesen