Juni 2021 – Uwe Gradenegger

Die Beantragung von Remotedesktop-Zertifikaten schlägt fehl mit Fehlermeldung "The requested certificate template is not supported by this CA."

Folgendes Szenario angenommen:

Maschinen sind per Gruppenrichtlinie konfiguriert, Zertifikate für den Remotedesktop-Sitzungshost zu beantragen.
Die Zertifikate werden jedoch nicht beantragt oder bestehende Zertifikate laufen ohne Erneuerung ab.
Im Ereignisprotokoll der betroffenen System wird das Ereignis mit ID 1064 der Quelle Terminalservices-RemoteConnectionManager protokolliert:

The RD Session Host server cannot install a new template-based certificate to be used for Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) authentication and encryption. The following error occurred: The requested certificate template is not supported by this CA.

Der lokale Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen wird nicht aus dem Active Directory synchronisiert

Folgendes Szenarion angenommen:

Es ist eine Zertifizierungsstellen-Hierarchie im Netzwerk etabliert und die Stammzertifizierungsstelle ist in der Configuration-Partition der Active Directory Gesamtstruktur abgebildet.
Die Domänenmitglieder sind konfiguriert, den Autoenrollment-Prozess auszuführen und somit vertrauenswürdige Stammzertifizierungsstellen aus der Configuration-Partition zu aktualisieren.
Bei einigen Clients funktioniert dieser Prozess allerdings nicht. Die Stammzertifizierungsstellen-Zertifikate werden nicht automatisch heruntergeladen und in den lokalen Vertrauensspeicher eingetragen.
Als Folgeerscheinung können Zertifikatbeantragungen fehlschlagen, da beispielsweise der Zertifizierungsstellen-Hierarchie nicht vertraut wird.

Zertifikatanforderungen für den Onlineresponder (OCSP) schlagen sporadisch fehl mit Fehlermeldung "The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)"

Folgendes Szenario angenommen:

Es ist ein Onlineresponder (OCSP) im Netzwerk eingerichtet.
Die Zertifizierungsstellen melden in unregelmäßigen Abständen, dass Zertifikatanforderungen für die OCSP-Antwortsignaturzertifikate mit folgender Fehlermeldung fehlschlagen:

The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK).

Umfangreiches Whitepaper über Angriffe auf die und mit der Microsoft PKI veröffentlicht

Will Schroeder und Lee Christensen haben unter dem Titel "Certified Pre-Owned – Abusing Active Directory Certificate Services" ein umfangreiches Whitepaper über Angriffe auf die Microsoft PKI und mit der Microsoft PKI veröffentlicht, und angekündigt, darüber auf der diesjährigen BlackHat (31.07.2021 bis 05.08.2021) zu berichten.

Nahezu parallel hierzu wurde außerdem der Artikel "Microsoft ADCS – Abusing PKI in Active Directory Environment" von Jean Marsault veröffentlicht.

Den Autoenrollment Prozess für den angemeldeten Benutzer programmatisch auslösen

Folgendes Szenario angenommen:

Man schreibt ein Script oder eine Anwendung, die den Autoenrollment Prozess für den aktuell angemeldeten Benutzer auslösen soll.
Man stellt hierbei fest, dass der geplante Task nicht ausgeführt werden kann.
Die Fehlermeldung lautet:

The user account does not have permissions to run this task.

Protokollierung für die automatische Zertifikatbeantragung (Autoenrollment) aktivieren

Nachfolgend eine Übersicht über die für die von Windows-Zertifikat-Clients erzeugten Ereignisse in der Windows-Ereignisanzeige, deren Aktivierung und deren Identifikation.

Fehlersuche für die automatische Zertifikatbeantragung (Autoenrollment) via RPC/DCOM

Folgendes Szenario angenommen:

Es ist eine Zertifikatvorlage für die automatische Beantragung von Zertifikaten konfiguriert (Autoenrollment).
Die Zertifikatvorlage ist auf einer ins Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) veröffentlicht.
Die für die automatische Zertifikatbeantragung konfigurierten Benutzer oder Computer beantragen allerdings nicht wie vorgesehen Zertifikate.

Nachfolgend eine Anleitung zur Fehlersuche.

Details zum Ereignis mit ID 1 der Quelle Microsoft-Windows-CertificateServicesClient

Ereignisquelle:	Microsoft-Windows-CertificateServicesClient
Ereignis-ID:	1 (0x1)
Ereignisprotokoll:	Application
Ereignistyp:	Information
Ereignistext (englisch):	Certificate Services Client has been started successfully.
Ereignistext (deutsch):	Der Zertifikatdienstclient wurde erfolgreich gestartet.

Details zum Ereignis mit ID 502 der Quelle Microsoft-Windows-CertificateServicesClient

Ereignisquelle:	Microsoft-Windows-CertificateServicesClient
Ereignis-ID:	502 (0x1F6)
Ereignisprotokoll:	Application
Ereignistyp:	Warnung
Ereignistext (englisch):	Certificate Services Client failed to register Group Policy notifications. Error code: %1.
Ereignistext (deutsch):	Fehler bei der Registrierung der Gruppenrichtlinienbenachrichtigungen durch den Zertifikatdienstclient. Fehlercode: %1.

Details zum Ereignis mit ID 4 der Quelle Microsoft-Windows-CertificateServicesClient

Ereignisquelle:	Microsoft-Windows-CertificateServicesClient
Ereignis-ID:	4 (0x4)
Ereignisprotokoll:	Application
Ereignistyp:	Information
Ereignistext (englisch):	Certificate Services Client has detected network dis-connectivity.
Ereignistext (deutsch):	Vom Zertifikatdienstclient wurde keine Netzwerkkonnektivität festgestellt.

Details zum Ereignis mit ID 2 der Quelle Microsoft-Windows-CertificateServicesClient

Ereignisquelle:	Microsoft-Windows-CertificateServicesClient
Ereignis-ID:	2 (0x2)
Ereignisprotokoll:	Application
Ereignistyp:	Information
Ereignistext (englisch):	Certificate Services Client has been stopped.
Ereignistext (deutsch):	Der Zertifikatdienstclient wurde angehalten.

Details zum Ereignis mit ID 1001 der Quelle Microsoft-Windows-CertificateServicesClient

Ereignisquelle:	Microsoft-Windows-CertificateServicesClient
Ereignis-ID:	1001 (0x3E9)
Ereignisprotokoll:	Application
Ereignistyp:	Fehler
Ereignistext (englisch):	Certificate Services Client failed to load Provider %1. Error code %2.
Ereignistext (deutsch):	Zertifikatdienstclient: der Anbieter %1 konnte nicht geladen werden. Fehlercode %2.

Details zum Ereignis mit ID 3 der Quelle Microsoft-Windows-CertificateServicesClient

Ereignisquelle:	Microsoft-Windows-CertificateServicesClient
Ereignis-ID:	3 (0x3)
Ereignisprotokoll:	Application
Ereignistyp:	Information
Ereignistext (englisch):	Certificate Services Client has detected network connectivity.
Ereignistext (deutsch):	Vom Zertifikatdienstclient wurde Netzwerkkonnektivität festgestellt.

Details zum Ereignis mit ID 501 der Quelle Microsoft-Windows-CertificateServicesClient

Ereignisquelle:	Microsoft-Windows-CertificateServicesClient
Ereignis-ID:	501 (0x1F5)
Ereignisprotokoll:	Application
Ereignistyp:	Warnung
Ereignistext (englisch):	Certificate Services Client is triggered with bad parameters: %1.
Ereignistext (deutsch):	Der Zertifikatdienstclient wird mit falschen Parametern ausgelöst: %1.

Details zum Ereignis mit ID 1003 der Quelle Microsoft-Windows-CertificateServicesClient

Ereignisquelle:	Microsoft-Windows-CertificateServicesClient
Ereignis-ID:	1003 (0x3EB)
Ereignisprotokoll:	Application
Ereignistyp:	Fehler
Ereignistext (englisch):	Certificate Services Client failed to invoke the Providers in response to event %1. Error code %2.
Ereignistext (deutsch):	Zertifikatdienstclient: Die Anbieter konnten nicht als Antwort auf Ereignis %1 aufgerufen werden. Fehlercode %2.