Aus Sicherheitsgründen kann es sinnvoll sein, den CES statt mit einem normalen Domänenkonto lieber mit einem Group Managed Service Account (gMSA) zu betreiben. Diese Option bietet den charmanten Vorteil, dass das Passwort des Kontos automatisch geändert wird, und dieser Schritt somit nicht von Hand vorgenommen werden muss, was leider viel zu oft vergessen wird.
„Den Certificate Enrollment Web Service (CES) für den Betrieb mit einem Group Managed Service Account (gMSA) konfigurieren“ weiterlesenAutor: Uwe Gradenegger
Planung von Zertifikat-Gültigkeit und Erneuerungs-Zeitraum von End-Entitäts-Zertifikaten mit Autoenrollment
Wird Autoenrollment verwendet, beantragen die Teilnehmer selbständig Zertifikate und erneuern diese auch selbständig.
Betreffend der Gültigkeit der Zertifikate und des Zeitraums für ihre automatische Erneuerung gibt es zwei Werte, die im Karteireiter "General" einer Zertifiikatvorlage konfiguriert werden können:
- Gültigkeitszeitraum (Validity period): Beschreibt die Gesamt-Gültigkeit des ausgestellten Zertifikats.
- Erneuerungszeitraum (Renewal period): Beschreibt, ab welchem Zeitfenster, rückwärts betrachtet vom Ablaufdatum des Zertifikats, die automatische Erneuerung erstmals versucht wird (z.B. 6 Wochen vor Ablauf).
Zertifikate für Domänencontroller enthalten nicht den Domänennamen im Subject Alternative Name (SAN)
Folgendes Szenario angenommen:
- Es werden Zertifikate für Domänencontroller von einer Active Directory integrierten Zertifizierungsstelle (Enterprise CA) ausgestellt
- Die hierfür verwendete Zertifikatvorlage wurde selbst erzeugt
- Die ausgestellten Zertifikate enthalten im Subject Alternative Name (SAN) nur den vollqualifizierten Computernamen des jeweiligen Domänencontrollers, jedoch nicht den vollqualifizierten Namen und den NETBIOS Namen der Domäne
Die Beantragung eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung "The certification authority’s certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)"
Folgendes Szenario angenommen:
- Es wird ein Zertifizierungsstellen-Zertifikat von einer Zertifizierungsstelle beantragt
- Die Zertifikatanforderung schlägt mit folgender Fehlermeldung fehl:
The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)„Die Beantragung eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung "The certification authority’s certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)"“ weiterlesen
Denied by Policy Module
Einschränkung der Pfadlänge (Path Length Constraint) für von einer Zertifizierungsstelle ausgestellte Zertifikate konfigurieren
Für eine stärkere Kontrolle über die von einer Zertifizierungsstelle ausstellbaren Zertifikate kann eine Einschränkung der Pfadlänge (Path Length Constraint) eingerichtet werden, sodass Zertifizierungsstellen ab einer definierten Hierarchieebene nicht mehr in der Lage sind untergeordnete Zertifizierungsstellen-Zertifikate auszustellen
Für eine Erklärung der Funktionsweise der Einschränkung der Pfadlänge siehe Artikel "Grundlagen: Einschränkung der Pfadlänge (Path Length Constraint)".
„Einschränkung der Pfadlänge (Path Length Constraint) für von einer Zertifizierungsstelle ausgestellte Zertifikate konfigurieren“ weiterlesenKonfigurieren einer Zertifikatvorlage für Remotedesktop (RDP) Zertifikate
Für die Verwendung von Remotedesktop-Zertifikaten ist es erforderlich, eine entsprechende Zertifikatvorlage zu konfigurieren.
„Konfigurieren einer Zertifikatvorlage für Remotedesktop (RDP) Zertifikate“ weiterlesenIdentifizieren des aktiven Remotedesktop (RDP) Zertifikats
Hat man eine Zertifikatvorlage für Remotedesktop-Zertifikate und eine entsprechende Gruppenrichtlinine konfiguriert, oder ein Remotedesktop-Zertifikat manuell zugewiesen, möchte man vielleicht überprüfen, ob die Zertifikate auf den teilnehmenden Computern auch korrekt vom Remotedesktop-Sitzungshost verwendet werden.
„Identifizieren des aktiven Remotedesktop (RDP) Zertifikats“ weiterlesenKonfigurieren einer Gruppenrichtlinie (GPO) für Remotedesktop (RDP) Zertifikate
Nachdem eine Zertifikatvorlage für die Verteilung von Remotedesktop-Zertifikaten konfiguriert wurde (siehe Artikel "Konfigurieren einer Zertifikatvorlage für Remotedesktop (RDP) Zertifikate"), wird noch eine Gruppenrichtlinie benötigt, welche die teilnehmenden Computer anweist, die von der Vorlage stammenden Zertifikate auch zu verwenden.
„Konfigurieren einer Gruppenrichtlinie (GPO) für Remotedesktop (RDP) Zertifikate“ weiterlesenWenn ein Zertifizierungsstellen-Zertifikat widerrufen wurde, wird keine Sperrliste mehr für das Zertifizierungsstellen-Zertifikat ausgestellt
Folgendes Szenario angenommen:
- Eine Zertifizierungsstelle verfügt über mehrere Zertifizierungsstellen-Zertifikate.
- Mehr als ein Zertifizierungsstellen-Zertifikat verwendet den gleichen privaten Schlüssel, da z.B. das Zertifizierungsstellen-Zertifikat mit dem gleichen Schlüsselpaar erneuert wurde.
- Wird eines dieser Zertifizierungsstellen-Zertifikate widerrufen, werden auch für die anderen Zertifizierungsstellen-Zertifikate, welche den gleichen Schlüssel verwenden, keine Sperrlisten mehr von der Zertifizierungsstelle ausgestellt.
Wiederherstellung einer Zertifizierungsstelle aus der Sicherung (Backup)
Nachfolgend wird die Wiederherstellung einer Zertifizierungsstelle aus der Sicherung beschrieben. Neben dem Katastrophenfall ist diese Vorgehensweise auch Teil der Migration eine Zertifizierungsstelle auf einen neuen Server.
„Wiederherstellung einer Zertifizierungsstelle aus der Sicherung (Backup)“ weiterlesenInstallation der Rollen-Dateien für die Zertifizierungsstelle
Seit Windows Server 2008 besteht die Installation der Zertifizierungsstellen-Rolle aus zwei Schritten:
- Installation der Rollen-Dateien. Dieser Schritt wird nachfolgend beschrieben.
- Konfiguration der Zertifizierungsstellen-Rolle.
Wiederherstellung eines Zertifizierungsstellenzertifikats mit Hardware Security Modul (HSM)
Nachfolgend wird die Wiederherstellung eines Zertifizierungsstellen-Zertifikats mit Software-Schlüssel beschrieben.
Die Wiederherstellung des Zertifizierungsstellen-Zertifikats kann aus folgenden Gründen notwendig sein:
- Wiederherstellen einer Zertifizierungsstelle aus einer Sicherung
- Migration der Zertifizierungsstelle auf einen neuen Server
- Notfallsignierung der Sperrlisten auf einem anderen Computer
Wiederherstellung eines Zertifizierungsstellenzertifikats mit Software-Schlüssel
Nachfolgend wird die Wiederherstellung eines Zertifizierungsstellen-Zertifikats mit Software-Schlüssel beschrieben.
Die Wiederherstellung des Zertifizierungsstellen-Zertifikats kann aus folgenden Gründen notwendig sein:
- Wiederherstellen einer Zertifizierungsstelle aus einer Sicherung
- Migration der Zertifizierungsstelle auf einen neuen Server
- Notfallsignierung der Sperrlisten auf einem anderen Computer
Welchen Einfluss hat der Ablauf eines der Zertifizierungsstellen-Zertifikate auf die Zertifizierungsstelle?
Zertifizierungsstellen-Zertifikate haben ein definiertes Anfangs- und Enddatum, sodass es während des Lebenszyklus einer Zertifizierungsstelle unausweichlich ist, dass Zertifizierungsstellen-Zertifikate ablaufen.
Nachfolgend werden die Auswirkungen eines ablaufenden Zertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle beschrieben.
„Welchen Einfluss hat der Ablauf eines der Zertifizierungsstellen-Zertifikate auf die Zertifizierungsstelle?“ weiterlesenDie Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "0x800b0101 (-2146762495 CERT_E_EXPIRED)"
Folgendes Szenario angenommen:
- Ein Benutzer beantragt ein Zertifikat von einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority)
- Die Beantragung des Zertifikats schlägt mit folgender Fehlermeldung fehl.
Deutsch 
English