Autor: Uwe Gradenegger

Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit HTTP Fehlercode 403 "Forbidden: Access is denied."

Folgendes Szenario angenommen:

  • Im Netzwerk ist ein Server für die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) installiert.
  • Die Rolle ist auf einem separaten Server, nicht auf der Zertifizierungsstelle direkt installiert.
  • Ein Benutzer versucht, ein Zertifikat über die Zertifizierungsstellen-Webregistrierung zu beantragen oder eine vorhandene Zertifikatanforderung an die Zertifizierungsstelle zu übermitteln.
  • Die Anmeldung des Benutzers an der CAWE schlägt mit HTTP Code 403 "Forbidden: Access is denied." fehl:
You do not have permission to view this directory or page using the credentials that you supplied.
„Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit HTTP Fehlercode 403 "Forbidden: Access is denied."“ weiterlesen

Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit Fehlermeldung "No certificate templates could be found.", oder die gewünschte Zertifikatvorlage wird nicht angezeigt

Folgendes Szenario angenommen:

  • Im Netzwerk ist ein Server für die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) installiert.
  • Die Rolle ist auf einem separaten Server, nicht auf der Zertifizierungsstelle direkt installiert.
  • Ein Benutzer versucht, eine vorhandene Zertifikatanforderung über die Zertifizierungsstellen-Webregistrierung an die Zertifizierungsstelle zu übermitteln.
  • Die gewünschte Zertifikatvorlage fehlt in der Liste der auswählbaren Zertifikatvorlagen, oder die Liste ist gänzlich leer.
  • Wenn die Liste leer ist, wird zusätzlich folgende Fehlermeldung ausgegeben:
No certificate templates could be found. You do not have permission to request a certificate from this CA, or an error occurred while accessing the Active Directory.
„Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit Fehlermeldung "No certificate templates could be found.", oder die gewünschte Zertifikatvorlage wird nicht angezeigt“ weiterlesen

Funktionstest durchführen für die Zertifizierungsstellen-Webregistrierung (CAWE)

Nach der Installation und Konfiguration der Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) ist es unerlässlich, dass die Komponente vor der Freigabe an die Benutzer ausgiebig getestet wird. Nachfolgend eine Anleitung für einen ausführlichen Funktionstest.

„Funktionstest durchführen für die Zertifizierungsstellen-Webregistrierung (CAWE)“ weiterlesen

Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit HTTP Fehlercode 500 "Internal Server error"

Folgendes Szenario angenommen:

  • Im Netzwerk ist ein Server für die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) installiert.
  • Die Rolle ist auf einem separaten Server, nicht auf der Zertifizierungsstelle direkt installiert.
  • Ein Benutzer versucht, ein Zertifikat über die Zertifizierungsstellen-Webregistrierung zu beantragen oder eine vorhandene Zertifikatanforderung an die Zertifizierungsstelle zu übermitteln.
  • Die Beantragung dauert sehr lange und schlägt letztendlich mit HTTP Code 500 "Internal server error" fehl:
There is a problem with the resource you are looking for, and it cannot be displayed.
„Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit HTTP Fehlercode 500 "Internal Server error"“ weiterlesen

Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Domänenkonto konfigurieren

Nachfolgend wird beschrieben, wie man die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) einrichten sodass der Dienst unter einem Domänenkonto läuft.

„Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Domänenkonto konfigurieren“ weiterlesen

Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit Fehlercode "ERROR_ACCESS_DENIED"

Folgendes Szenario angenommen:

  • Im Netzwerk ist ein Server für die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) installiert.
  • Die Rolle ist auf einem separaten Server, nicht auf der Zertifizierungsstelle direkt installiert.
  • Ein Benutzer versucht, ein Zertifikat über die Zertifizierungsstellen-Webregistrierung zu beantragen oder eine vorhandene Zertifikatanforderung an die Zertifizierungsstelle zu übermitteln.
  • Die Beantragung schlägt mit folgender Fehlermeldung fehl:
Your request failed. An error occurred while the server was processing your request. Contact your administrator for further assistance.

In den Details der Fehlermeldung findet sich folgender Hinweis:

CCertRequest::Submit: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
„Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit Fehlercode "ERROR_ACCESS_DENIED"“ weiterlesen

Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Group Managed Service Account (gMSA) konfigurieren

Aus Sicherheitsgründen kann es sinnvoll sein, den CAWE statt mit einem normalen Domänenkonto lieber mit einem Group Managed Service Account (gMSA) zu betreiben. Diese Option bietet den charmanten Vorteil, dass das Passwort des Kontos automatisch geändert wird, und dieser Schritt somit nicht von Hand vorgenommen werden muss, was leider viel zu oft vergessen wird.

„Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Group Managed Service Account (gMSA) konfigurieren“ weiterlesen

Benötigte Windows-Sicherheitsberechtigungen für die Zertifizierungsstellen-Webregistrierung (CAWE)

Angenommen, man implementiert das Active Directory-Verwaltungsebenenmodell (Administrative Tiering Model) von Microsoft, oder wendet vergleichbare Härtungsmaßnahmen auf seinen Servern an, hat dies Auswirkungen auf die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE).

„Benötigte Windows-Sicherheitsberechtigungen für die Zertifizierungsstellen-Webregistrierung (CAWE)“ weiterlesen

Benötigte Firewallregeln für den Registrierungsdienst für Netzwerkgeräte (NDES)

Implementiert man einen Network Device Enrollment Service (NDES), ist oft eine Planung der im Netzwerk zu erstellenden Firewallregeln erforderlich. Nachfolgend eine Aufstellung der benötigten Firewallregeln und eventueller Fallstricke.

„Benötigte Firewallregeln für den Registrierungsdienst für Netzwerkgeräte (NDES)“ weiterlesen

Benötigte Firewallregeln für den Zertifikatregistrierungsrichtlinien-Webdienst (CEP)

Implementiert man einen Zertifikatregistrierungsrichtlinien-Webdienst (CEP), ist oft eine Planung der im Netzwerk zu erstellenden Firewallregeln erforderlich. Nachfolgend eine Aufstellung der benötigten Firewallregeln und eventueller Fallstricke.

„Benötigte Firewallregeln für den Zertifikatregistrierungsrichtlinien-Webdienst (CEP)“ weiterlesen

Benötigte Firewallregeln für den Zertifikatregistrierungs-Webdienst (CES)

Implementiert man einen Zertifikatregistrierungs-Webdienst (CES), ist oft eine Planung der im Netzwerk zu erstellenden Firewallregeln erforderlich. Nachfolgend eine Aufstellung der benötigten Firewallregeln und eventueller Fallstricke.

„Benötigte Firewallregeln für den Zertifikatregistrierungs-Webdienst (CES)“ weiterlesen

Benötigte Firewallregeln für den Onlineresponder (OCSP)

Implementiert man einen Onlineresponder (OCSP), ist oft eine Planung der im Netzwerk zu erstellenden Firewallregeln erforderlich. Nachfolgend eine Aufstellung der benötigten Firewallregeln und eventueller Fallstricke.

„Benötigte Firewallregeln für den Onlineresponder (OCSP)“ weiterlesen

Secure Sockets Layer (SSL) für die Zertifizierungsstellen-Webregistrierung (CAWE) aktivieren

In der Standardkonfiguration nimmt die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment CAWE) nur unverschlüsselte Verbindungen via HTTP an. Es ist angeraten, dass die CAWE für HTTP über TLS (HTTPS) konfiguriert wird, um Mitschnitte des Netzwerkverkehrs zu erschweren. Nachfolgend eine Anleitung.

„Secure Sockets Layer (SSL) für die Zertifizierungsstellen-Webregistrierung (CAWE) aktivieren“ weiterlesen
de_DEDeutsch
en_USEnglish de_DEDeutsch