Autor: Uwe Gradenegger

Microsoft Outlook: "Diese Nachricht kann von Microsoft Outlook weder verschlüsselt noch signiert werden, da keine Zertifikate für das Senden von Nachrichten von der E-Mail Adresse […] vorhanden sind."

Folgendes Szenario angenommen:

  • Ein Benutzer möchte eine signierte E-Mail versenden
  • Der Vorgang schlägt mit folgender Fehlermeldung fehl:
Diese Nachricht kann von Microsoft Outlook weder verschlüsselt noch signiert werden, da keine Zertifikate für das Senden von Nachrichten von der E-Mail Adresse "rudi.ratlos@adcslabor.de" vorhanden sind. Fordern Sie entweder eine neue digitale ID für dieses Konto an, oder verwenden Sie die Schaltfläche "Konten", um die Nachricht mithilfe eines Kontos zu senden, für das Sie Zertifikate besitzen.
„Microsoft Outlook: "Diese Nachricht kann von Microsoft Outlook weder verschlüsselt noch signiert werden, da keine Zertifikate für das Senden von Nachrichten von der E-Mail Adresse […] vorhanden sind."“ weiterlesen

Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "Provider DLL failed to initialize correctly. 0x8009001d (-2146893795 NTE_PROVIDER_DLL_FAIL)."

Folgendes Szenario angenommen:

  • Es ist eine Zertifizierungsstelle im Netzwerk implementiert.
  • Der Zertifizierungsstellen-Dienst startet nicht.
  • Beim Versuch, den Zertifizierungsstellen-Dienst zu starten, erhält man folgende Fehlermeldung:
Provider DLL failed to initialize correctly. 0x8009001d (-2146893795 NTE_PROVIDER_DLL_FAIL).
„Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "Provider DLL failed to initialize correctly. 0x8009001d (-2146893795 NTE_PROVIDER_DLL_FAIL)."“ weiterlesen

Die "Application Policies" Zertifikaterweiterung

Für welche Zwecke ein digitales Zertifikat verwendet werden darf, wird über die Zertifikaterweiterungen "Key Usage" und "Extended Key Usage" gesteuert.

In der "Extended Key Usage" Zertifikaterweiterung werden die erweiterten Schlüsselverwendungen eingetragen, für welche das Zertifikat verwendet werden darf.

Es gibt jedoch bei von einer Microsoft Zertifizierungsstelle ausgestellten Zertifikaten noch eine weitere Zertifikaterweiterung namens "Anwendungsrichtlinien" (engl. "Application Policies"), die ebenfalls eine der Extended Key Usages Erweiterung sehr ähnliche Liste enthält.

„Die "Application Policies" Zertifikaterweiterung“ weiterlesen

Es werden regelmäßig neue Zertifikate über Autoenrollment beantragt

Folgendes Szenario angenommen:

  • Es ist eine Zertifikatvorlage für die automatische Beantragung und Ausstellung (AutoEnrollment) konfiguriert.
  • Benutzer oder Computer beantragen in regelmäßigen Abständen und lange vor dem definierten Erneuerungszeitraum neue Zertifikate.
„Es werden regelmäßig neue Zertifikate über Autoenrollment beantragt“ weiterlesen

Der Schlüsselalgorithmus von Zertifikatanforderungen wird vom Policy Modul der Zertifizierungsstelle nicht überprüft

Folgendes Szenario angenommen:

  • Es ist eine Zertifikatvorlage für die Verwendung von auf elliptischen Kurven basierenden Schlüsseln konfiguriert (z.B. ECDSA_P256).
  • Als Folge dessen ist eine Mindest-Schlüssellänge von 256 Bit konfiguriert.
  • Es werden dennoch auch Zertifikatanforderungen, die andere ECC-Kurven oder RSA-basierte Schlüssel verwenden, signiert.
„Der Schlüsselalgorithmus von Zertifikatanforderungen wird vom Policy Modul der Zertifizierungsstelle nicht überprüft“ weiterlesen

SignTool Installation ohne Installation des Windows Software Development Kit (SDK)

Eine Möglichkeit zur Durchführung von Codesignaturen ist die Verwendung des Kommandozeilenwerkzeugs SignTool. Dieses ist Bestandteil des Windows 10 Software Development Kit (SDK).

Möchte man das Tool auf einem System einsetzen, ohne Visual Studio oder das Windows SDK installiern zu müssen, kann wie folgt vorgegangen werden.

„SignTool Installation ohne Installation des Windows Software Development Kit (SDK)“ weiterlesen

Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "The request is not supported. 0x80070032 (WIN32: 50 ERROR_NOT_SUPPORTED)"

Folgendes Szenario angenommen:

  • Es wird ein Zertifikat von einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) beantragt.
  • Die Beantragung schlägt mit folgender Fehlermeldung fehl:
An error occurred while enrolling for a certificate.
The certificate request could not be submitted to the certification authority.
Url: CA02.intra.adcslabor.de\ADCS Labor Issuing CA 1
Error: The request is not supported. 0x80070032 (WIN32: 50 ERROR_NOT_SUPPORTED)
„Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "The request is not supported. 0x80070032 (WIN32: 50 ERROR_NOT_SUPPORTED)"“ weiterlesen

Die Rollenkonfiguration für den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlermeldung "Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)"

Folgendes Szenarion angenommen:

  • Es wird eine Rollenkonfiguration für den Certificate Enrollment Web Service (CES) durchgeführt.
  • Die Rollenkonfiguration schlägt mit folgender Fehlermeldung fehl: 
CCertificateEnrollmenServerSetup::InitializeInstallDefaults: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
„Die Rollenkonfiguration für den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlermeldung "Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)"“ weiterlesen

Die Rollenkonfiguration für den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlermeldung "The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE"

Folgendes Szenarion angenommen:

  • Es wird eine Rollenkonfiguration für den Certificate Enrollment Web Service (CES) durchgeführt.
  • Die Rollenkonfiguration schlägt mit folgender Fehlermeldung fehl: 
The Certificate Enrollment Web Service Setup failed because the CA "CA02.intra.adcslabor.de\ADCS Labor Issuing CA 1" cannot  be contacted. Check the name, and confirm that the CA is properly configured and available. The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
„Die Rollenkonfiguration für den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlermeldung "The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE"“ weiterlesen

Automatische Erneuerung manuell beantragter Zertifikate ohne Eingriff eines Zertifikatmanagers

Angenommen, man setzt einen Use Case für Zertifikate ein, bei denen die Benutzer die im Zertifikat enthaltene Identität in der Zertifikatanforderung angeben, und hierdurch ein manuelles Eingreifen der Zertifikatmanager erfolgen muss, stellt sich die Frage, wie bei Ablauf der Zertifikate oder Umzug der Zertifikatvorlage auf eine andere Zertifizierungsstelle vorgegangen werden kann, um Tickets beim Helpdesk und damit die entstehende Arbeit für die Zertifikatmanager auf ein Minimum reduzieren zu können.

„Automatische Erneuerung manuell beantragter Zertifikate ohne Eingriff eines Zertifikatmanagers“ weiterlesen

Microsoft Outlook: Mit S/MIME verschlüsselte E-Mails können nicht geöffnet werden. Es erscheint die Fehlermeldung "Interner Fehler."

Folgendes Szenario angenommen:

  • Ein Benutzer erhält eine mit Secure/Multipurpose Internet Mail Extensions (S/MIME) verschlüsselte E-Mail Nachricht.
  • Die Nachricht kann nicht geöffnet werden.
  • Beim Öffnen der Nachricht wird folgende Fehlermeldung angezeigt:
Leider besteht ein Problem beim Öffnen dieses Elements. Dies kann vorübergehend sein. Wenn dieser Fehler erneut auftritt, sollten Sie Outlook neu starten. Fehler im zugrunde liegenden Sicherheitssystem. Interner Fehler.
„Microsoft Outlook: Mit S/MIME verschlüsselte E-Mails können nicht geöffnet werden. Es erscheint die Fehlermeldung "Interner Fehler."“ weiterlesen

S/MIME mit der Outlook App für Apple IOS und Android nur mit über Intune verwalteten Geräten möglich

Möchte man S/MIME Zertifikate seinen Benutzern auch auf dem Smartphone zur Verfügung stellen, wird man vielleicht mit Erstaunen feststellen, dass dies nicht mit der Outlook App möglich ist, wenn man nicht auch Microsoft Intune als Verwaltungslösung für die Geräte einsetzt.

Microsoft hat in einem Artikel "Sensitivity labeling and protection in Outlook for iOS and Android" nun klargestellt, dass dies auf die jeweilige Systemarchitektur zurückzuführen ist.

„S/MIME mit der Outlook App für Apple IOS und Android nur mit über Intune verwalteten Geräten möglich“ weiterlesen

Von Null auf Enterprise Administrator durch den Registrierungsdienst für Netzwerkgeräte (NDES) – und was dagegen getan werden kann

Nachfolgend möchte ich eine der breiten Öffentlichkeit vielleicht nicht unbedingt bekannte hochgefährliche PKI-Konfiguration vorstellen, die so in Unternehmensnetzwerken wahrscheinlich recht häufig angetroffen werden kann.

Ich zeige auf, wie durch Ausnutzung verschiedener unglücklicher Umstände in der Windows-PKI eine Erhöhung von Rechten, ausgehend von bloßem Netzwerkzugang bis hin zur vollständigen Übernahme des Active Directory möglich ist.

Der initiale Angriffspunkt ist in diesem Beispiel der Registrierungsdienst für Netzwerkgeräte (NDES).

„Von Null auf Enterprise Administrator durch den Registrierungsdienst für Netzwerkgeräte (NDES) – und was dagegen getan werden kann“ weiterlesen

Was bedeutet die Option "Enable Certificate Privacy" beim Zertifikatexport?

Mit Windows Server 2016 und Windows 10 wurde für den Export von Zertifikaten mit privatem Schlüssel über die Microsoft Management Console (MMC) eine neue Option "Enable Certificate Privacy" implementiert.

Beim Export von Zertifikaten mit privatem Schlüssel wird das Zertifikat in eine PKCS#12 (.PFX) Datei exportiert.

„Was bedeutet die Option "Enable Certificate Privacy" beim Zertifikatexport?“ weiterlesen
de_DEDeutsch
en_USEnglish de_DEDeutsch