Grundlagen: Authentisierungsverfahren für die Internet Information Services (IIS)

Die Active Directory Certificate Services bieten eine Reihe von webbassierten Zusatz-Schnittstellen (Registrierungsdienst für Netzwerkgeräte (NDES), Zertifikatregistrierungs-Richtliniendienst (CEP), Zertifikatregistrierungs-Webdienst (CES), Zertifizierungsstellen-Webregistrierung (CAWE).

Die Microsoft Internet Information Services (IIS) sind also für eine Microsoft-PKI nahezu unentbehrlich. Jede der webbasierten Schnittstellen (und auch Eigenentwicklungen) bringen ihre ganz eigenen Herausforderungen in Hinsicht auf Authentisierungsverfahren und deren Implementierung.

Nachfolgender Beitrag soll ein wenig Klarheit in das Thema bringen.

„Grundlagen: Authentisierungsverfahren für die Internet Information Services (IIS)“ weiterlesen

Deaktivieren von NTLM und erzwingen von Kerberos an der Administrations-Webseite des Registrierungsdienstes für Netzwerkgeräte (NDES)

Viele Unternehmen verfolgen die Strategie, das NT LAN Manager (NTLM) Authentisierungsprotokoll in ihren Netzwerken (weitestgehend) abzuschalten.

Auch für die Administrations-Webseite des Registrierungsdienstes für Netzwerkgeräte (NDES) ist dies möglich. Wie genau die Umsetzung erfolgt, und wie sich dadurch eventuell das Anwendungsverhalten ändert soll nachfolgend erläuert werden.

„Deaktivieren von NTLM und erzwingen von Kerberos an der Administrations-Webseite des Registrierungsdienstes für Netzwerkgeräte (NDES)“ weiterlesen

Änderungen an der Zertifikatausstellung und an der zertifikatbasierten Anmeldung am Active Directory mit dem Patch für Windows Server vom 10. Mai 2022 (KB5014754)

Mit dem Patch vom 10. Mai 2022 versucht Microsoft, eine Sicherheitslücke im Active Directory zu schließen, in welcher die zertifikatbasierte Anmeldung (im Allgemeinen bekannt als Smartcard Logon) zu schließen.

Das Update ändert sowohl das Verhalten der Zertifizierungsstelle als auch das Verhalten des Active Directory beim Verarbeiten von zertifikatbasierten Anmeldungen.

„Änderungen an der Zertifikatausstellung und an der zertifikatbasierten Anmeldung am Active Directory mit dem Patch für Windows Server vom 10. Mai 2022 (KB5014754)“ weiterlesen

Keine Anmeldung per Remotedesktop von außerhalb der Active Directory Gesamtstruktur möglich

Folgendes Szenario angenommen:

  • Man möchte eine Remotedesktopverbindung herstellen.
  • Der Clientcomputer, von welchem aus die Verbindung hergestellt wird, ist nicht Mitglied der gleichen Active Directory Gesamtstruktur wie der Zielcomputer.
  • Die Verbindung schlägt mit folgender Fehlermeldung fehl:
A user account restriction (for example, a time-of-day restriction) is preventing you from logging on. For assistance, contact your system administrator or technical support.
„Keine Anmeldung per Remotedesktop von außerhalb der Active Directory Gesamtstruktur möglich“ weiterlesen

Die Überprüfung der Zertifikatregistrierungsrichtlinie über den Zertifikatregistrierungs-Richtlinienwebdienst (CEP) schlägt fehl mit Fehlercode "WS_E_ENDPOINT_FAULT_RECEIVED"

Folgendes Szenario angenommen:

  • Benutzer (oder Computer) sollen Zertifikate über den Zertifikatregistrierungs-Richtlinienwebdienst (CEP) beantragen.
  • Hierfür wird eine Zertifikatregistrierungs-Richtlinie (Enrollment Policy) konfiguriert, welche auf einen Certificate Enrollment Policy Web Service (CEP) verweist.
  • Die Authentifizierung erfolgt via Kerberos.
  • Beim Überprüfen der Adresse schläft die Verbindung zum CEP schlägt fehl, und man erhält folgende Fehlermeldung:
An error occurred while obtaining certificate enrollment policy.
Url: https://cews.adcslabor.de/ADCS%20Labor%20Issuing%20CA%201_CES_Kerberos/service.svc/CES
Error: A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)
„Die Überprüfung der Zertifikatregistrierungsrichtlinie über den Zertifikatregistrierungs-Richtlinienwebdienst (CEP) schlägt fehl mit Fehlercode "WS_E_ENDPOINT_FAULT_RECEIVED"“ weiterlesen

Funktionstest durchführen für den Certificate Enrollment Policy Web Service (CEP)

Nach der Installation einer Zertifikatbeantragungs-Richtlinienservers (Certificate Enrollment Policy Web Service, CEP), oder nach umfangreicheren Wartungsarbeiten sollte ein ausgiebiger Funktionstest erfolgen, um sicherzustellen, dass alle Komponenten wie gewünscht arbeiten.

„Funktionstest durchführen für den Certificate Enrollment Policy Web Service (CEP)“ weiterlesen

Installation eines Certificate Enrollment Policy Web Service (CEP)

Nachfolgend wird beschrieben, wie der Certificate Enrollment Policy Web Service (CEP) installiert werden kann.

„Installation eines Certificate Enrollment Policy Web Service (CEP)“ weiterlesen

Die Beantragung eines Zertifikats über die Certificate Enrollment Web Services schlägt fehl mit Fehlermeldung "Error: A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)"

Folgendes Szenario angenommen:

  • Ein Benutzer beantragt ein Zertifikat.
  • Hierfür ist eine Enrollment Policy konfiguriert, welche auf einen Certificate Enrollment Policy Web Service (CEP) verweist.
  • Die Authentifizierung erfolgt via Kerberos.
  • Die Beantragung des Zertifikats erfolgt von dem CEP Server selbst.
  • Die Verbindung zum CEP schlägt fehl, und der Benutzer erhält folgende Fehlermeldung:
Error: A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)
„Die Beantragung eines Zertifikats über die Certificate Enrollment Web Services schlägt fehl mit Fehlermeldung "Error: A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)"“ weiterlesen