Die Beantragung eines Zertifikats über den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung "Error: Access was denied by the remote endpoint. 0x803d0005 -2143485947 WS_E_ENDPOINT_ACCESS_DENIED"

Autor Uwe GradeneggerVeröffentlicht am Kategorien Troubleshooting, Zertifikatregistrierungs-WebdiensteSchlagwörter ,

Folgendes Szenario angenommen:

  • Ein Benutzer beantragt ein Zertifikat.
  • Hierfür ist eine Enrollment Policy konfiguriert, welche auf einen Certificate Enrollment Policy Web Service (CEP) verweist.
  • Die Verbindung zum CEP schlägt fehl, und der Benutzer erhält folgende Fehlermeldung: 
Error: Access was denied by the remote endpoint. 0x803d0005 -2143485947 WS_E_ENDPOINT_ACCESS_DENIED

Die Zertifikatregistrierungs-Webdienste (Certificate Enrollment Policy Web Service, CEP und Certificate Enrollment Web Service, CES) ermöglichen die automatische Beantragung und Erneuerung von Zertifikaten einer Zertifizierungsstelle über eine Webbasierte Schnittstelle. Somit ist kein direkter Kontakt zur Zertifizierungsstelle über Remote Procedure Call (RPC) notwendig. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Zertifikatbeantragung über Certificate Enrollment Web Services (CEP, CES)".

Mögliche Ursachen

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden.

Dieser Fehler kann folgende Ursachen haben:

  • Der Dienstprinzipalname (Service Principal Name, SPN) ist nicht oder nicht korrekt gesetzt auf dem CEP Dienstkonto (hier auch Syntaxfehler durch falsche Kommandozeileneingabe überprüfen).
  • Der IIS Anwendungspool auf dem CEP Server läuft unter dem falschen Dienstkonto.
  • Die IIS Kernel Mode Authentifizierung ist für den CEP aktiviert, wenn nicht die Identität des IIS-Anwendungspools verwendet wird.
  • Der Benutzer ist nicht berechtigt, sich am CEP anzumelden (beispielsweise weil man sich mit einem lokalen Konto angemeldet hat).
  • Bei Authentifizierung mit Benutzername und Passwort wurden ungültige Anmeldedaten eingegeben.
  • Unter Umständen tritt dies beim ersten Aufruf nach Dienststart auf, sodass ein erneuter Versuch bereits den gewünschten Erfolg bringen kann.

Beispiele

Falsch: Hier wurden zwei Dienstprinzipalnamen auf einmal eingegeben,
Richtig Hier wurden die Dienstprinzipalnamen nacheinander eingetragen.

Weiterführende Links:

de_DEDeutsch
en_USEnglish de_DEDeutsch