Funktionstest durchführen für den Certificate Enrollment Policy Web Service (CEP)

Nach der Installation einer Zertifikatbeantragungs-Richtlinienservers (Certificate Enrollment Policy Web Service, CEP), oder nach umfangreicheren Wartungsarbeiten sollte ein ausgiebiger Funktionstest erfolgen, um sicherzustellen, dass alle Komponenten wie gewünscht arbeiten.

Die Zertifikatregistrierungs-Webdienste (Certificate Enrollment Policy Web Service, CEP und Certificate Enrollment Web Service, CES) ermöglichen die automatische Beantragung und Erneuerung von Zertifikaten einer Zertifizierungsstelle über eine Webbasierte Schnittstelle. Somit ist kein direkter Kontakt zur Zertifizierungsstelle über Remote Procedure Call (RPC) notwendig. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Zertifikatbeantragung über Certificate Enrollment Web Services (CEP, CES)".

Vorgehensweise

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Zu einem Funktionstest des Zertifikatbeantragungs-Richtlinienservers gehören die folgenden Schritte:

  • Start des Zertifikatbeantragungs-Richtlinienserver-Dienstes sicherstellen
  • Überprüfen der Ereignisanzeige des Zertifikatbeantragungs-Richtlinienservers
  • Verbindung zum Zertifikatbeantragungs-Richtlinienserver überprüfen
  • Zertifikatbeantragungs-Richtlinie erstellen
  • Zertifikatvorlagen über den Zertifikatbeantragungs-Richtlinienserver abfragen
  • Ein Zertifikat mit CEP beantragen

Details: Start des Zertifikatbeantragungs-Richtlinienserver-Dienstes sicherstellen

Da der Zertifikatbeantragungs-Richtlinienserver als Modul innerhalb des Internet Information Server (IIS) Dienstes realisiert ist, kann man den Dienststart nicht über die Verwaltungskontole für Dienste (services.msc) kontrollieren. Stattdessen wird ein entsprechendes Ereignis mit Nr. 1 in der Ereignisanzeige protokolliert.

Dieses wird jedoch erst beim ersten Aufruf durch einen Antragsteller erzeugt, sodass hierzu zunächst der weiter unten beschriebene Schritt "Verbindung zum Zertifikatbeantragungs-Richtlinienserver überprüfen" ausgeführt werden muss.

Details: Überprüfen der Ereignisanzeige des Zertifikatbeantragungs-Richtlinienservers

Siehe hierzu auch Artikel "Übersicht über die vom Zertifikatregistrierungs-Richtliniendienst (CEP) generierten Windows-Ereignisse".

Zunächst sollte die Windows-Ereignisanzeige auf dem Zertifikatbeantragungs-Richtlinienserver nach allen relevanten Ereignissen untersucht werden, die auf einen Fehler hinweisen könnten. Hierzu gibt es in der Ereignisanzeige eine vorgefertigte Ansicht unter "Custom Views" – "Server Roles" – "Active Directory Certificate Services", welche bereits die benötigten Filter auf die Ereignisanzeige definiert hat.

Details: Verbindung zum Zertifikatbeantragungs-Richtlinienserver überprüfen

Die Kerberos-Authentifizierung kann mit folgendem Kommandozeilenbefehl getestet werden.

certutil -ping -kerberos -config "https://{Servername}/ADPolicyProvider_CEP_Kerberos/service.svc/CEP" CEP

Die Authentifizierung mit Benutzername und Kennwort kann mit folgendem Kommandozeilenbefehl getestet werden.

certutil -username {Domäne}\{Benutzername} -p {Passwort} -ping -config "https://{Servername}/ADPolicyProvider_CEP_UsernamePassword/service.svc/CEP" CEP

Die Authentifizierung mit einem Clientzertifikat kann mit folgendem Kommandozeilenbefehl getestet werden.

certutil -ClientCertificate {Thumbprint} -ping -config "https://{ServerName}/ADPolicyProvider_CEP_Certificate/service.svc/CEP" CEP

Falls es bei diesem Schritt zu Problemen kommt, können folgende Artikel unter Umständen hilfreich sein:

Details: Zertifikatbeantragungs-Richtlinie erstellen

Nun kann eine Zertifikatbeantraguns-Richtlinie konfiguriert werden. Die Vorgehensweise ist im Artikel "Konfiguration einer Zertifikatbeantragungs-Richtlinie (Enrollment Policy) für die Zertifikatbeantragungs-Webdienste (CEP, CES)" beschrieben.

Falls es bei diesem Schritt zu Problemen kommt, können folgende Artikel unter Umständen hilfreich sein:

Details: Zertifikatvorlagen über den Zertifikatbeantragungs-Richtlinienserver abfragen

Wurde für den aktuellen Benutzer wie zuvor beschrieben eine Zertifikatbeantragungs-Richtlinie konfiguriert, kann mit dieser nun eine Abfrage der Zertifikatvorlagen über den Zertifikatbeantragungs-Richtlinienserver erfolgen.

certutil -template -policyserver *

Hierbei handelt es sich um zwischengespeicherte Informationen, die erst generiert werden, wenn zuvor eine Abfrage mit der Microsoft Management Konsolem (MMC) erfolgte.

Ein Zertifikat mit CEP beantragen

Hierfür muss zunächst auch ein Zertifikatregistrierungs-Webdienst (Certificate Enrollment Web Service, CES) im Netzwerk installiert werden. Eine Beschreibung der Vorgehensweise findet sich im Artikel "Installation eines Certificate Enrollment Web Service (CES)".

Anschließend kann eine Zertifikatregistrierungs-Richtlinie eingerichtet werden und ein Zertifikat über die Webdienste beantragt werden.

Falls es bei diesem Schritt zu Problemen kommt, können folgende Artikel unter Umständen hilfreich sein:

Weitere mögliche Fehler, die an dieser Stelle auftreten können, im Zertifikatregistrierungs-Webdienst (CES) ursächlich sind, sind entsprechend im Artikel "Funktionstest durchführen für den Certificate Enrollment Web Service (CES)" beschrieben.

Nacharbeiten

Sofern zum Testen manuell eine Zertifikatbeantragungs-Richtlinie eingerichtet wurde, kann diese nun wieder entfernt werden. Die Vorgehensweise hierzu ist im Artikel "Löschen einer manuell konfigurierten Zertifikatbeantragungs-Richtlinie (Enrollment Policy)" beschrieben.

Weiterführende Links:

de_DEDeutsch