| Ereignisquelle: | Microsoft-Windows-CertificateServicesClient-CertEnroll |
| Ereignis-ID: | 74 (0x825A004A) |
| Ereignisprotokoll: | Application |
| Ereignistyp: | Warning |
| Ereignistext (englisch): | Certificate enrollment for %1 failed to load policy from policy server %2 with ID %3 (%4) |
| Ereignistext (deutsch): | Fehler beim Laden der Richtlinie mithilfe der Zertifikatregistrierung für %1 vom Richtlinienserver %2 mit der ID %3 (%4). |
Monat: Mai 2021
Details zum Ereignis mit ID 75 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll
| Ereignisquelle: | Microsoft-Windows-CertificateServicesClient-CertEnroll |
| Ereignis-ID: | 75 (0x825A004B) |
| Ereignisprotokoll: | Application |
| Ereignistyp: | Warning |
| Ereignistext (englisch): | Certificate enrollment for %1 failed in authentication to policy server %2 with ID %3 (%6). Authentication mechanism was %5 (Credential: %4) |
| Ereignistext (deutsch): | Fehler bei Zertifikatregistrierung für %1 bei der Authentifizierung für den Richtlinienserver %2 mit der ID %3 (%6). Verwendeter Authentifizierungsmechanismus %5 (Anmeldeinformationen: %4) |
Details zum Ereignis mit ID 86 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll
| Ereignisquelle: | Microsoft-Windows-CertificateServicesClient-CertEnroll |
| Ereignis-ID: | 86 (0xC25A0056) |
| Ereignisprotokoll: | Application |
| Ereignistyp: | Error |
| Ereignistext (englisch): | SCEP Certificate enrollment initialization for %1 via %2 failed: %3 Method: %4 Stage: %5 %6 |
| Ereignistext (deutsch): | Fehler bei der Initialisierung der SCEP-Zertifikatregistrierung für %1 über %2: %3 Methode: %4 Phase: %5 %6 |
Details zum Ereignis mit ID 87 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll
| Ereignisquelle: | Microsoft-Windows-CertificateServicesClient-CertEnroll |
| Ereignis-ID: | 87 (0xC25A0057) |
| Ereignisprotokoll: | Application |
| Ereignistyp: | Error |
| Ereignistext (englisch): | SCEP Certificate enrollment for %1 via %2 failed: %3 Method: %4 Stage: %5 %6 |
| Ereignistext (deutsch): | Fehler bei der SCEP-Zertifikatregistrierung für %1 über %2: %3 Methode: %4 Phase: %5 %6 |
Es wird kein Zertifikat per Autoenrollment beantragt, wenn ein Benutzer per Virtual Private Network (VPN) verbunden ist
Folgendes Szenario angenommen:
- Ein Benutzer arbeitet remote über Virtual Private Network (VPN)
- Eigentlich sollte per Autoenrollment ein Zertifikat beantragt werden, dies erfolgt jedoch nicht
- Ein Verbindungstest (certutil -ping) zur Zertifizierungsstelle wirft folgende Fehlermeldung:
Server could not be reached: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE) -- (31ms) CertUtil: -ping command FAILED: 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE) CertUtil: The RPC server is unavailable.„Es wird kein Zertifikat per Autoenrollment beantragt, wenn ein Benutzer per Virtual Private Network (VPN) verbunden ist“ weiterlesen
Microsoft Outlook: Signierte E-Mail Nachrichten erscheinen ungültig mit Fehlermeldung "Es wurde kein Zertifikat zum Überprüfen der Signatur dieser Nachricht gefunden."
Folgendes Szenario angenommen
- Ein Benutzer erhält eine mit Secure/Multipurpose Internet Mail Extensions (S/MIME) signierte E-Mail Nachricht.
- Der Benutzer (der Empfänger) verwendet Microsoft Outlook für Windows.
- Der Absender verwendet Microsoft Outlook für Macintosh.
- Das zum Signieren der Nachricht verwendete Zertifikat ist gültig.
- Die E-Mail Signatur wird als ungültig angezeigt. Eine Inspektion der Signatur ergibt, dass keine Details zum Signaturzertifikat angezeigt werden können.
Fehler: Es wurde kein Zertifikat zum Überprüfen der Signatur dieser Nachricht gefunden. Signiert von (Name des Zertifikatsbetreffs unbekannt) unter Verwendung von RSA/SHA256 um 15:44:59 19.05.2021.„Microsoft Outlook: Signierte E-Mail Nachrichten erscheinen ungültig mit Fehlermeldung "Es wurde kein Zertifikat zum Überprüfen der Signatur dieser Nachricht gefunden."“ weiterlesen
Microsoft Outlook: "Diese Nachricht kann von Microsoft Outlook weder verschlüsselt noch signiert werden, da keine Zertifikate für das Senden von Nachrichten von der E-Mail Adresse […] vorhanden sind."
Folgendes Szenario angenommen:
- Ein Benutzer möchte eine signierte E-Mail versenden
- Der Vorgang schlägt mit folgender Fehlermeldung fehl:
Diese Nachricht kann von Microsoft Outlook weder verschlüsselt noch signiert werden, da keine Zertifikate für das Senden von Nachrichten von der E-Mail Adresse "rudi.ratlos@adcslabor.de" vorhanden sind. Fordern Sie entweder eine neue digitale ID für dieses Konto an, oder verwenden Sie die Schaltfläche "Konten", um die Nachricht mithilfe eines Kontos zu senden, für das Sie Zertifikate besitzen.„Microsoft Outlook: "Diese Nachricht kann von Microsoft Outlook weder verschlüsselt noch signiert werden, da keine Zertifikate für das Senden von Nachrichten von der E-Mail Adresse […] vorhanden sind."“ weiterlesen
Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "Provider DLL failed to initialize correctly. 0x8009001d (-2146893795 NTE_PROVIDER_DLL_FAIL)."
Folgendes Szenario angenommen:
- Es ist eine Zertifizierungsstelle im Netzwerk implementiert.
- Der Zertifizierungsstellen-Dienst startet nicht.
- Beim Versuch, den Zertifizierungsstellen-Dienst zu starten, erhält man folgende Fehlermeldung:
Provider DLL failed to initialize correctly. 0x8009001d (-2146893795 NTE_PROVIDER_DLL_FAIL).„Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "Provider DLL failed to initialize correctly. 0x8009001d (-2146893795 NTE_PROVIDER_DLL_FAIL)."“ weiterlesen
Die "Application Policies" Zertifikaterweiterung
Für welche Zwecke ein digitales Zertifikat verwendet werden darf, wird über die Zertifikaterweiterungen "Key Usage" und "Enhanced Key Usage" gesteuert.
In der "Enhanced Key Usage" Zertifikaterweiterung werden die erweiterten Schlüsselverwendungen eingetragen, für welche das Zertifikat verwendet werden darf.
Es gibt jedoch bei von einer Microsoft Zertifizierungsstelle ausgestellten Zertifikaten noch eine weitere Zertifikaterweiterung namens "Anwendungsrichtlinien" (engl. "Application Policies"), die ebenfalls eine der Extended Key Usages Erweiterung sehr ähnliche Liste enthält.
„Die "Application Policies" Zertifikaterweiterung“ weiterlesenEs werden regelmäßig neue Zertifikate über Autoenrollment beantragt
Folgendes Szenario angenommen:
- Es ist eine Zertifikatvorlage für die automatische Beantragung und Ausstellung (AutoEnrollment) konfiguriert.
- Benutzer oder Computer beantragen in regelmäßigen Abständen und lange vor dem definierten Erneuerungszeitraum neue Zertifikate.
Der Schlüsselalgorithmus von Zertifikatanforderungen wird vom Policy Modul der Zertifizierungsstelle nicht überprüft
Folgendes Szenario angenommen:
- Es ist eine Zertifikatvorlage für die Verwendung von auf elliptischen Kurven basierenden Schlüsseln konfiguriert (z.B. ECDSA_P256).
- Als Folge dessen ist eine Mindest-Schlüssellänge von 256 Bit konfiguriert.
- Es werden dennoch auch Zertifikatanforderungen, die andere ECC-Kurven oder RSA-basierte Schlüssel verwenden, signiert.
SignTool Installation ohne Installation des Windows Software Development Kit (SDK)
Eine Möglichkeit zur Durchführung von Codesignaturen ist die Verwendung des Kommandozeilenwerkzeugs SignTool. Dieses ist Bestandteil des Windows 10 Software Development Kit (SDK).
Möchte man das Tool auf einem System einsetzen, ohne Visual Studio oder das Windows SDK installiern zu müssen, kann wie folgt vorgegangen werden.
„SignTool Installation ohne Installation des Windows Software Development Kit (SDK)“ weiterlesenCodesignatur für PowerShell Scriptdateien
Nachfolgend wird beschrieben, welche Optionen es für die Ausführung von PowerShell Skriptdateien gibt, und welche Möglichkeiten sich durch das Signieren dieser ergibt.
„Codesignatur für PowerShell Scriptdateien“ weiterlesenDie Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "The request is not supported. 0x80070032 (WIN32: 50 ERROR_NOT_SUPPORTED)"
Folgendes Szenario angenommen:
- Es wird ein Zertifikat von einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) beantragt.
- Die Beantragung schlägt mit folgender Fehlermeldung fehl:
An error occurred while enrolling for a certificate. The certificate request could not be submitted to the certification authority. Url: CA02.intra.adcslabor.de\ADCS Labor Issuing CA 1 Error: The request is not supported. 0x80070032 (WIN32: 50 ERROR_NOT_SUPPORTED)„Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "The request is not supported. 0x80070032 (WIN32: 50 ERROR_NOT_SUPPORTED)"“ weiterlesen
Deutsch 
English