Grundlagen manuelle und automatische Zertifikatbeantragung über Lightweight Directory Access Protocol (LDAP) und Remote Procedure Call / Distributed Common Object Model (RPC/DCOM)

Autor Uwe GradeneggerVeröffentlicht am Kategorien Active Directory, Grundlagen, Zertifikat-BenutzungSchlagwörter ,

Nachfolgend wird der Prozess beschrieben, der im Hintergrund bei der manuellen oder automatischen Beantragung von Zertifikaten abläuft, um einen möglichst hohen Automatisierungsgrad zu erreichen.

Ganz gleich ob eine manuelle Beantragung über die Zertifikat-Managementkonsolen (certmgr.msc für Benutzer- und certlm.msc für Computerzertifikate) stattfindet, der Ablauf ist identisch.

Schritt 1: Abfrage des Verzeichnisdienstes über LDAP

Im ersten Schritt baut der Client eine LDAP-Verbindung zu einem Domänencontroller auf und fragt die folgenden Informationen ab:

  • Alle pKICertificateTemplate Objekte (Zertifikatvorlagen) in der Active Directory Gesamtstruktur.
  • Alle pKIEnrollmentService Objekte (Enterprise Zertifizierungsstellen) in der Active Directory Gesamtstruktur.
  • Alle msPKI-Enterprise-Oid Objekte (Object Identifier) in der Active Directory Gesamtstruktur.

Diese Informationen sind allesamt in der Configuration Partition der Active Directory Gesamtstruktur gespeichert.

Anhand der pKICertificateTemplate und msPKI-Enterprise-OID Objekte kann ermittelt werden, ob der Antragsteller zur Beantragung ("Enroll") berechtigt ist und ob eine automatische Beantragung zu erfolgen hat ("Auto-Enroll"). Ebenso werden hierüber die Voreinstellungen für das Stellen der Zertifikatanforderung ermittelt.

Die Verbindung zwischen bereits vorhandenen Zertifikaten und den Zertifikatvorlagen wird über die Erweiterung "Certificate Template Information" hergestellt. Hier findet sich der Object Identifier der Zertifikatvorlage sowie Versionsinformationen. Somit wird vermieden, dass bei Autoenrollment Zertifikate doppelt beantragt werden, und Zertifikate können neu beantragt werden, wenn sich eine gravierende Änderung ereignet hat. Ersetzte Zertifikate können anhand dieser Informationen erkannt und archiviert werden.

Aus diesem Grund darf die "Certificate Template Information" Erweiterung bei Zertifikaten, für die Autoenrollment eingesetzt werden soll, auch keinesfalls entfernt werden, da der Prozess andernfalls nicht mehr funktioniert und Nebenwirkungen auftreten könnten.

Anhand der pKIEnrollmentService Objekte können die Zertifizierungsstellen ermittelt werden, welche die zu beantragenden Zertifikatvorlagen anbieten, sowie auf welchem Computer im Netzwerk die Zertifizierungsstelle ausgeführt wird. Hierzu werden die Attribute certificateTemplates sowie dNSHostName ausgewertet.

Schritt 2: Verbindung zur Ziel-Zertifizierungsstelle über RPC/DCOM

Im zweiten Schritt werden anhand der abgefragten Informationen ein Schlüsselpaar sowie eine Zertifikatanforderung generiert, und an die zuständige Zertifizierungsstelle gesendet. Sollten mehrere Zertifizierungsstellen die gleiche Zertifikatvorlage anbieten, entscheidet das Zufallsprinzip, sofern keine Standortbewusstheit (Site Awareness) konfiguriert wurde.

Die Zertifizierungsstelle kann den Benutzer aufgrund der Kerberos-Authentifizierung identifizieren und wendet mit ihrem Policy-Modul die in der entsprechenden Zertifikatvorlage vorgegebenen Einstellungen an.

Steuerung des Client-Verhaltens für Autoenrollment

Die Steuerung des Client-Verhaltens wird per Gruppenrichtlinie gesteuert. Die Gruppenrichtlinien bestehen einmal für Benutzer- und für Computereinstellungen.

Sie sind zu finden unser "User-" bzw. "Computer Configuration" – "Windows Settings" – "Public Key Policies" – "Certificate Services Client – Autoenrollment".

  • Das "Configuration Model" bewirkt, dass der Autoenrollment Prozess überhaupt ausgeführt wird. Ist diese Einstellung nicht durch eine Gruppenrichtlinie konfiguriert, ist sie per Standardeinstellung auf einem Domänenmitglied aktiviert.
  • Die Einstellung "Renew expired certificates, update pending certificates, and remove revoked certificates" bewirkt, dass abgelaufene Zertifikate automatisch erneuert werden, sofern sie von einer Active Directory integrierten Zertifizierungsstelle ausgestellt wurden. Außerdem werden genehmigte Zertifikatanforderungen von Zertifizierungsstellen abgeholt, sofern diese vorliegen. Widerrufene Zertifikate werden archiviert. Ist diese Einstellung nicht durch eine Gruppenrichtlinie konfiguriert, ist sie per Standardeinstellung auf einem Domänenmitglied deaktiviert.
  • Die Einstellung "Update certificates that use certificate templates" bewirkt, dass Zertifikate automatisch beantragt werden, welche für den Antragsteller für Autoenrollment freigegeben sind. Ist diese Einstellung nicht durch eine Gruppenrichtlinie konfiguriert, ist sie per Standardeinstellung auf einem Domänenmitglied deaktiviert.

In der Standardeinstellung replizieren alle Domänenmitglieder durch den Autoenrollment Prozess also automatisch das Public Key Services Objekt der Active Directory Gesamtstruktur, wenn die Auslösung getriggert wird.

Ermittlung der aktuellen Konfiguration

Die Einstellungen können über die Registry auf Windows-Computern überprüft werden. Sie finden sich im Wert "AEPolicy" unter folgenden Pfaden:

PfadBeschreibung
HKCU\Software\Policies\Microsoft\Cryptography\AutoEnrollmentBenutzereinstellungen, per Gruppenrichtlinie konfiguriert
HKCU\Software\Microsoft\Cryptography\AutoEnrollmentBenutzereinstellungen, lokal konfiguriert
HKLM\Software\Policies\Microsoft\Cryptography\AutoEnrollmentComputereinstellungen, per Gruppenrichtlinie konfiguriert
HKLM\Software\Microsoft\Cryptography\AutoEnrollmentComputereinstellungen, lokal konfiguriert

Per Gruppenrichtlinien konfigurierte Einstellungen haben Vorrang vor lokal konfigurierten Einstellungen.

Eine Abfrage kann über die Kommandozeile erfolgen.

Beispiel: Per Gruppenrichtlinie gesetzte Einstellungen für das aktuell angemeldete Benutzerkonto.

reg query ^
HKCU\Software\Policies\Microsoft\Cryptography\AutoEnrollment ^
/v AEPolicy

Beispiel: Per Gruppenrichtlinie gesetzte Einstellungen für das Computerkonto.

reg query ^
HKLM\Software\Policies\Microsoft\Cryptography\AutoEnrollment ^
/v AEPolicy

Die Werte bedeuten im Einzelnen:

WertBeschreibungErgebnis
0x00000000 oder nicht vorhandenAutoEnrollment Prozess ist aktiviert
"Update Certificates that use certificates templates" ist deaktiviert		keine automatische Beantragung von Zertifikaten
keine automatische Erneuerung abgelaufener Zertifikate
keine automatische Abholung genehmigter Zertifikatanforderungen
keine automatische Archivierung widerrufener Zertifikate
0x00000001AutoEnrollment Prozess ist aktiviert
"Update Certificates that use certificates templates" ist aktiviert
"Renew expired certificates, update pending certificates, and remove revoked certificates" ist deaktiviert		automatische Beantragung von Zertifikaten
keine automatische Erneuerung abgelaufener Zertifikate
keine automatische Abholung genehmigter Zertifikatanforderungen
keine automatische Archivierung widerrufener Zertifikate
0x00000006AutoEnrollment Prozess ist aktiviert
"Update Certificates that use certificates templates" ist deaktiviert
"Renew expired certificates, update pending certificates, and remove revoked certificates" ist aktiviert		keine automatische Beantragung von Zertifikaten
automatische Erneuerung abgelaufener Zertifikate
automatische Abholung genehmigter Zertifikatanforderungen
automatische Archivierung widerrufener Zertifikate
0x00000007AutoEnrollment Prozess ist aktiviert
"Update Certificates that use certificates templates" ist aktiviert
"Renew expired certificates, update pending certificates, and remove revoked certificates" ist aktiviert		automatische Beantragung von Zertifikaten
automatische Erneuerung abgelaufener Zertifikate
automatische Abholung genehmigter Zertifikatanforderungen
automatische Archivierung widerrufener Zertifikate
0x00008000AutoEnrollment ist deaktiviertkeine automatische Beantragung von Zertifikaten
keine automatische Erneuerung abgelaufener Zertifikate
keine automatische Abholung genehmigter Zertifikatanforderungen
keine automatische Archivierung widerrufener Zertifikate

Trigger für die Auslösung des Autoenrollment-Prozesses

Die Auslöser für die Ausführung des Autoenrollment-Prozesses auf Domänenmitgliedern sind:

  • Bei Anmeldung des Benutzers (bei Computern, wenn sich das Computerkonto anmeldet, also beim Systemstart).
  • Per Timer alle 8 Stunden.
  • Bei einer Aktualisierung der Gruppenrichtlinien, vorausgesetzt, es gab eine Änderung.

Diese Einstellungen können über die Aufgabenplanung unter "Microsoft" – "Windows" – "CertificateServicesClient" eingesehen werden.

Manuelles Ausführen des Autoenrollment Prozesses

Möchte man nicht darauf warten, bis der Autoenrollment automatisch angestoßen wird, kann man ihn auch manuell starten. Die verschiedenen Wege, den Autoenrollment Prozess auszuführen, sind im Artikel "Manuelles Ausführen des Autoenrollment Prozesses" beschrieben.

Weiterführende Links:

Externe Quellen

44 Gedanken zu „Grundlagen manuelle und automatische Zertifikatbeantragung über Lightweight Directory Access Protocol (LDAP) und Remote Procedure Call / Distributed Common Object Model (RPC/DCOM)“

  1. Pingback: Über Virtual Private Network (VPN) verbundene Clients erneuern Zertifikate nicht automatisch | Uwe Gradenegger
  2. Pingback: Entfernen der ADCS-spezifischen Erweiterungen aus Zertifikaten – Uwe Gradenegger
  3. Pingback: Grundlagen Zertifikatbeantragung über Certificate Enrollment Web Services (CEP, CES) – Uwe Gradenegger
  4. Pingback: Alle für eine Zertifikatvorlage ausgestellten Zertifikate automatisch von den Zertifikatinhabern erneuern lassen – Uwe Gradenegger
  5. Pingback: Details zum Ereignis mit ID 53 der Quelle Microsoft-Windows-CertificationAuthority – Uwe Gradenegger
  6. Pingback: Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) – Uwe Gradenegger
  7. Pingback: SSCEP für Linux (Debian Buster) installieren und Zertifikate über den Registrierungsdienst für Netzwerkgeräte (NDES) beantragen – Uwe Gradenegger
  8. Pingback: Signieren von Zertifikaten unter Umgehung der Zertifizierungsstelle – Uwe Gradenegger
  9. Pingback: Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)." – Uwe Gradenegger
  10. Pingback: Automatische Erneuerung manuell beantragter Zertifikate ohne Administrator-Eingriff – Uwe Gradenegger
  11. Pingback: Es werden regelmäßig neue Zertifikate über Autoenrollment beantragt – Uwe Gradenegger
  12. Pingback: Es wird kein Zertifikat per Autoenrollment beantragt, wenn ein Benutzer per Virtual Private Network (VPN) verbunden ist. Manuelle Zertifikatanforderungen schlagen fehl mit Fehlercode "RPC_S_SERVER_UNAVAILABLE". – Uwe Gradenegger
  13. Pingback: Benötigte Firewallregeln für Active Directory Certificate Services – Uwe Gradenegger
  14. Pingback: Fehlersuche für die automatische Zertifikatbeantragung (Autoenrollment) via RPC/DCOM – Uwe Gradenegger
  15. Pingback: Den AutoEnrollment Prozess programmatisch auslösen – Uwe Gradenegger
  16. Pingback: Die Beantragung eines Zertifikats ist nicht möglich, da die Zertifikatvorlage nicht angezeigt wird. Die Fehlermeldung lautet "Can not find a valid CSP in the local machine." – Uwe Gradenegger
  17. Pingback: Zertifikatanforderungen für den Onlineresponder (OCSP) schlagen sporadisch fehl mit Fehlermeldung "The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)" – Uwe Gra
  18. Pingback: Details zum Ereignis mit ID 52 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll – Uwe Gradenegger
  19. Pingback: Der lokale Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen wird nicht aus dem Active Directory synchronisiert – Uwe Gradenegger
  20. Pingback: Details zum Ereignis mit ID 10 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll – Uwe Gradenegger
  21. Pingback: Grundlagen: Ersetzen (Superseding) von Zertifikatvorlagen – Uwe Gradenegger
  22. Pingback: Eine Zuordnung von einem Benutzerzertifikat zum dazugehörigen Computer herstellen – Uwe Gradenegger
  23. Pingback: Übersicht über die verschiedenen Generationen von Domänencontroller-Zertifikaten – Uwe Gradenegger
  24. Pingback: Die Beantragung von Zertifikaten mit auf elliptischen Kurven basierenden Schlüsseln schlägt fehl, wenn der Microsoft Platform Crypto Provider verwendet wird – Uwe Gradenegger
  25. Pingback: Grenzen der Microsoft Active Directory Certificate Services – Uwe Gradenegger
  26. Pingback: Details zum Ereignis mit ID 4886 der Quelle Microsoft-Windows-Security-Auditing – Uwe Gradenegger
  27. Pingback: Manuelles Ausführen des Autoenrollment Prozesses – Uwe Gradenegger
  28. Pingback: Konfigurieren einer Zertifikatvorlage für Remotedesktop (RDP) Zertifikate – Uwe Gradenegger
  29. Pingback: Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlercode "WS_E_ENDPOINT_FAILURE" – Uwe Gradenegger
  30. Pingback: Die Rollenkonfiguration für den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlermeldung "The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE" – Uwe Gradenegger
  31. Pingback: Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit Fehlercode "RPC_S_SERVER_UNAVAILABLE" – Uwe Gradenegger
  32. Pingback: Planung von Zertifikat-Gültigkeit und Erneuerungs-Zeitraum von End-Entitäts-Zertifikaten mit Autoenrollment – Uwe Gradenegger
  33. Pingback: Die Partition des Hardware Security Moduls (HSM) läuft voll – Uwe Gradenegger
  34. Pingback: Der Registrierungsdienst für Netzwerkgeräte (NDES) protokolliert die Fehlermeldung "The Network Device Enrollment Service cannot retrieve one of its required certificates (0x80070057). The parameter is incorrect." – Uwe Gradenegger
  35. Pingback: Liste der Use Cases der Zertifikate, für welche die Kompatibilität zu auf elliptischen Kurven (ECC) basierenden Schlüsseln bekannt ist – Uwe Gradenegger
  36. Pingback: Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "The certificate request could not be submitted to the certification authority. Error: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)" – Uw
  37. Pingback: Ein Policy Modul, um sie zu bändigen: Vorstellung des TameMyCerts Policy Moduls für Microsoft Active Directory Certificate Services – Uwe Gradenegger
  38. Pingback: Beantragung von Zertifikaten für mit Microsoft Intune verwaltete Endgeräte – Uwe Gradenegger
  39. Pingback: Keine Installation des Registrierungsdienstes für Netzwerkgeräte (NDES) an einem Standort mit nur schreibgeschützten Domänencontrollern möglich – Uwe Gradenegger
  40. Pingback: Übertragen von S/MIME Zertifikaten zu Microsoft Intune – Uwe Gradenegger
  41. Pingback: Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung "A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted
  42. Pingback: Details zum Ereignis mit ID 1063 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager – Uwe Gradenegger
  43. Pingback: Rückbau einer Active Directory integrierten Zertifizierungsstelle (Enterprise CA) – Uwe Gradenegger
  44. Pingback: Rollen in einer Public Key Infrastruktur – Uwe Gradenegger

Kommentare sind geschlossen.

de_DEDeutsch
en_USEnglish de_DEDeutsch