Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlercode "WS_E_ENDPOINT_FAILURE"

Folgendes Szenario angenommen:

  • Man versucht, ein Zertifikat über einen Certificate Enrollment Web Service (CEP) von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
  • Der Vorgang schlägt mit folgender Fehlermeldung fehl:
The remote endpoint could not process the request. 0x803d000f (-2143485937 WS_E_ENDPOINT_FAILURE)

Die Zertifikatregistrierungs-Webdienste (Certificate Enrollment Policy Web Service, CEP und Certificate Enrollment Web Service, CES) ermöglichen die automatische Beantragung und Erneuerung von Zertifikaten einer Zertifizierungsstelle über eine Webbasierte Schnittstelle. Somit ist kein direkter Kontakt zur Zertifizierungsstelle über Remote Procedure Call (RPC) notwendig. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Zertifikatbeantragung über Certificate Enrollment Web Services (CEP, CES)".

Der Fehler tritt auf, wenn die Webanwendung (der "Endpoint") nicht korrekt antwortet ("failure"). Dies ist in der Regel der Fall, wenn die CES Webanwendung nicht starten kann. In diesem Fall wird das Ereignis Nr. 2 protokolliert.

Mögliche Ursachen

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden.

Mögliche Ursachen können sein:

  • Der CES Server zeigt auf eine nicht existierende Zertifizierungsstelle.
  • Das CES-Dienstkonto kann sich nicht an der DCOM Schnittstelle der Zertifizierungsstelle authentisieren.
  • Das CES-Dienstkonto kann sich nicht an der RPC/DCOM Schnittstelle der Zertifizierungsstelle authentisieren, oder die Verbindung wird durch eine Firewall blockiert

Details: Der CES Server zeigt auf eine nicht existierende Zertifizierungsstelle

Die konfigurierte Zertifizierungsstelle kann in der "CAConfig" im Bereich "Application Settings" für die CES-Authentifizierungsmethode in der Internet Information Services (IIS) Managementkonsole überprüft werden.

Details: Das CES-Dienstkonto muss auf der Zertifizierungsstelle das Recht haben, Zertifikate zu beantragen

Ein fehlendes Recht sollte auf dem CES-Server im Ereignisprotokoll protokolliert werden.

Details: Das CES-Dienstkonto kann sich nicht an der RPC/DCOM Schnittstelle der Zertifizierungsstelle authentisieren, oder die Verbindung wird durch eine Firewall blockiert

CES nimmt eine reguläre Zertifikatbeantragung via DCOM vor. Beim ersten Start der CES Webanwendung wird darüber hinaus die GetCAProperty Methode gegen die Zertifizierungsstelle abgesetzt. Für beides sind die Firewall-Ports für die Zertifikatbeantragung via DCOM erforderlich.

Fehler, die aufgrund eines Problems mit der Netzwerkverbindung oder der Authentifizierung an der RPC/DCOM Schnittstelle auftreten können, verursachen den Fehlercode RPC_S_SERVER_UNAVAILABLE.

Für eine genaue Beschreibung aller möglichen Ursachen siehe Artikel "Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "The certificate request could not be submitted to the certification authority. Error: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)"".

Weiterführende Links:

de_DEDeutsch