Die Erneuerung eines Zertifikats über den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlercode CERT_E_UNTRUSTEDCA

Folgendes Szenario angenommen:

  • Es wird ein Zertifikat über den Registrierungsdienst für Netzwerkgeräte (NDES) beantragt.
  • Hierbei kommt der Renewal-Modus zum Einsatz, d.h. die Zertifikatanforderung wird mit einem bestehenden Zertifikat signiert.
  • Die Beantragung des neuen Zertifikats schlägt mit folgender Fehlermeldung fehl:
A certification chain processed correctly, but one of the CA
certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)

Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".

Der Fehlercode wird nur auf dem Client angezeigt, und es hängt von dem verwendeten SCEP-Client ab. Das PSCertificateEnrollment PowerShell Modul wertet die von NDES Server zurückgegebenen Fehlercodes aus, andere Clients unter Umständen aber nicht.

Auf dem NDES-Server selbst wird nur das Ereignis Nr. 28 protokolliert, welches jedoch leicht in die Irre führen kann.

Ursache

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden.

Ursache ist, dass für die Verwendung des Renewal Modus über NDES die Zertifizierungsstelle, welche die zu erneuernden Zertifikate ausstellt, Mitglied in NTAuthCertificates sein muss. Wurde die Zertifizierungsstelle aus NTAuthCertificates entfernt, kann der Renewal Modus nicht verwendet werden.

Weiterführende Links:

de_DEDeutsch