Übersicht über die vom Zertifikatregistrierungs-Webdienst (CES) generierten Windows-Ereignisse

Nachfolgend eine Übersicht über die vom Zertifikatregistrierungs-Webdienst (CES) erzeugten Ereignisse in der Windows-Ereignisanzeige.

Die Ereignisse des Zertifikatregistrierungs-Webdienstes sind nicht offiziell dokumentiert. Die nachfolgende Liste wurde mit Hilfe des Tools Windows Event Log Messages (WELM) erzeugt.

„Übersicht über die vom Zertifikatregistrierungs-Webdienst (CES) generierten Windows-Ereignisse“ weiterlesen

Übersicht über die vom Registrierungsdienst für Netzwerkgeräte (NDES) generierten Windows-Ereignisse

Nachfolgend eine Übersicht über die vom Registrierungsdienst für Netzwerkgeräte (NDES) erzeugten Ereignisse in der Windows-Ereignisanzeige.

Die Ereignisse des Registrierungsdienst für Netzwerkgeräte sind nicht offiziell dokumentiert. Die nachfolgende Liste wurde mit Hilfe des Tools Windows Event Log Messages (WELM) erzeugt.

„Übersicht über die vom Registrierungsdienst für Netzwerkgeräte (NDES) generierten Windows-Ereignisse“ weiterlesen

Übersicht über die vom Onlineresponder (OCSP) generierten Windows-Ereignisse

Nachfolgend eine Übersicht über die vom Onlineresponder (OCSP) erzeugten Ereignisse in der Windows-Ereignisanzeige.

Die Ereignisse des Onlineresponders sind nicht offiziell dokumentiert. Die nachfolgende Liste wurde mit Hilfe des Tools Windows Event Log Messages (WELM) erzeugt.

„Übersicht über die vom Onlineresponder (OCSP) generierten Windows-Ereignisse“ weiterlesen

Kombination Onlineresponder (OCSP) mit Delta CRL und Sperrlistenverteilpunkt (CDP) ohne Deltasperrliste für gesteigerte Resilienz

OCSP Antworten eines Microsoft OCSP Resonders sind genau so lange gültig wie die zugrunde liegende Sperrliste. In manchen Szenarien möchte man die Gültigkeitszeiten von OCSP verringern, indem man Delta CRLs verwendet. Gleichzeitig soll aber bei den in den CDP Pfaden eingetragenen Sperrlisten keine Delta CRL verwendet werden, um einen Fallback auf eine länger gültige CRL zu ermöglichen.

„Kombination Onlineresponder (OCSP) mit Delta CRL und Sperrlistenverteilpunkt (CDP) ohne Deltasperrliste für gesteigerte Resilienz“ weiterlesen

Auswirkungen des Ausfalls des Onlineresponders (OCSP) auf die Überprüfung des Sperrstatus eines Zertifikats

Nachfolgend wird untersucht, wie sich die Überprüfung des Sperrstatus verhält, wenn der Onlineresponder ausfallen sollte. Je nach Konfiguration der ausgestellten Zertifikate kann es hier zu stark abweichendem Verhalten kommen.

„Auswirkungen des Ausfalls des Onlineresponders (OCSP) auf die Überprüfung des Sperrstatus eines Zertifikats“ weiterlesen

Funktionstest durchführen für den Registrierungsdienst für Netzwerkgeräte (NDES)

Nach der Installation eines Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES), oder nach umfangreicheren Wartungsarbeiten sollte ein ausgiebiger Funktionstest erfolgen, um sicherzustellen, dass alle Komponenten wie gewünscht arbeiten.

„Funktionstest durchführen für den Registrierungsdienst für Netzwerkgeräte (NDES)“ weiterlesen

Den Network Device Enrollment Service (NDES) für die Verwendung mit einem Alias konfigurieren

Nachfolgend wird beschrieben, welche Schritte erforderlich sind, um den Registrierungs dienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) für die Verwendung mit einem Alias zu konfigurieren.

Mit dem Begriff Alias ist gemeint, dass der Dienst nicht mit dem Namen des Servers, auf welchem er installiert ist, aufgerufen wird, sondern mit einem hierbon unabhängigen, generischen Namen. Die Verwendung eines Alias ermöglicht, dass der Dienst zu einem späteren Zeitpunkt auf ein anderes System umgezogen werden kann, ohne dass die neue Adresse allen Teilnehmern mitgeteilt werden muss.

„Den Network Device Enrollment Service (NDES) für die Verwendung mit einem Alias konfigurieren“ weiterlesen

Konfigurieren der Zertifizierungsstelle auf einen statischen Port (RPC-Endpunkt)

In der Standardkonfiguration ist die Zertifikatbeantragungs-Schnittstelle der Zertifizierungsstelle darauf konfiguriert, dynamische Ports für die eingehenden RPC/DCOM Verbindungen auszuhandeln (näheres siehe Artikel "Benötigte Firewallregeln für Active Directory Certificate Services").

NetzwerkprotokollZiel-PortProtokoll
TCP135RPC Endpoint Mapper
TCP49152-65535RPC dynamische Ports

Diese Konfiguration ist nicht in jeder Unternehmens-Umgebung realisierbar. Oftmals gibt es restriktive Firewallregeln, welche die Verwendung dynamischer Netzwerk-Ports nicht erlauben.

In einem solchen Fall muss die Zertifizierungsstelle auf einen statischen Port konfiguriert werden.

„Konfigurieren der Zertifizierungsstelle auf einen statischen Port (RPC-Endpunkt)“ weiterlesen

Abfrage der konfigurierten RPC-Endpunkte einer Zertifizierungsstelle

In der Standardkonfiguration ist die Zertifikatbeantragungs-Schnittstelle der Zertifizierungsstelle darauf konfiguriert, dynamische Ports für die eingehenden RPC/DCOM Verbindungen auszuhandeln (näheres siehe Artikel "Benötigte Firewallregeln für Active Directory Certificate Services").

Es ist jedoch auch möglich, die Zertifizierungsstelle auf einen statischen Port zu konfigurieren (siehe Artikel "Konfigurieren der Zertifizierungsstelle auf einen statischen Port (RPC-Endpunkt)").

Nachfolgend wird beschrieben, wie die aktuelle Konfiguration der Zertifizierungsstelle überprüft werden kann.

„Abfrage der konfigurierten RPC-Endpunkte einer Zertifizierungsstelle“ weiterlesen

Einordnung der ADCS-Komponenten in das administrative Schichtenmodell (Administrative Tiering Model)

Implementiert man neben den Active Directory Certificate Services auch das administrative Schichtenmodell (Administrative Tiering Model) für den Active Directory Verzeichnisdienst, stellt sich die Frage der Zuordnung der einzelnen PKI-Komponenten in dieses Modell, um eine zielgerichtete Sicherheitshärtung vornehmen zu können.

„Einordnung der ADCS-Komponenten in das administrative Schichtenmodell (Administrative Tiering Model)“ weiterlesen

Manuelles Zuweisen eines Remotedesktop (RDP) Zertifikats

Wurde ein Remotedesktop-Zertifikat manuell beantragt, muss es dem Remotedesktop-Sitzungshost anschließend noch zugewiesen werden.

„Manuelles Zuweisen eines Remotedesktop (RDP) Zertifikats“ weiterlesen

Manuelle Beantragung eines Remotedesktop (RDP) Zertifikats

Es gibt Fälle, in welchen man Remotedesktop-Zertifikate nicht von einer Zertifizierungsstelle in der eigenen Active Directory Gesamtstruktur beziehen kann oder möchte, beispielsweise wenn das betreffende System kein Domänenmitglied ist.

In diesem Fall ist die Verwendung von Zertifikatvorlagen nicht möglich, und man muss manuell einen Zertifikatantrag (Certificate Signing Request, CSR erstellen).

„Manuelle Beantragung eines Remotedesktop (RDP) Zertifikats“ weiterlesen

Die Erstellung einer manuellen Zertifikatanforderung schlägt fehl mit Fehlermeldung "Expected INF file section name 0xe0000000"

Folgendes Szenario angenommen:

  • Es wird eine Informationsdatei für eine manuelle Zertifikatanforderung erstellt.
  • Die Erstellung der Zertifikatanforderung unter Verwendung der Datei schlägt mit folgender Fehlermeldung fehl:
Expected INF file section name 0xe0000000 (INF: -536870912)
„Die Erstellung einer manuellen Zertifikatanforderung schlägt fehl mit Fehlermeldung "Expected INF file section name 0xe0000000"“ weiterlesen

Eine manuell erstellte Zertifikatanforderung an eine Zertifizierungsstelle senden

Liegt eine Zertifikatanforderung, beispielsweise nach manueller Erzeugung, in Form einer Textdatei (üblicherweise mit Endung .CSR oder .REQ) vor, kann diese mit Bordmitteln an die Zertifizierungsstelle gesendet werden.

„Eine manuell erstellte Zertifikatanforderung an eine Zertifizierungsstelle senden“ weiterlesen
de_DEDeutsch