Nachfolgend wird untersucht, wie sich die Überprüfung des Sperrstatus verhält, wenn der Onlineresponder ausfallen sollte. Je nach Konfiguration der ausgestellten Zertifikate kann es hier zu stark abweichendem Verhalten kommen.
„Auswirkungen des Ausfalls des Onlineresponders (OCSP) auf die Überprüfung des Sperrstatus eines Zertifikats“ weiterlesenWie wird die Seriennummer eines Zertifikats gebildet?
Nachfolgend eine Erklärung, wie die Seriennummern ausgestellter Zertifikate gebildet werden, und wie das Verhalten der Zertifizierungsstellen angepasst werden kann.
Funktionstest durchführen für den Registrierungsdienst für Netzwerkgeräte (NDES)
Nach der Installation eines Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES), oder nach umfangreicheren Wartungsarbeiten sollte ein ausgiebiger Funktionstest erfolgen, um sicherzustellen, dass alle Komponenten wie gewünscht arbeiten.
„Funktionstest durchführen für den Registrierungsdienst für Netzwerkgeräte (NDES)“ weiterlesenDen Network Device Enrollment Service (NDES) für die Verwendung mit einem Alias konfigurieren
Nachfolgend wird beschrieben, welche Schritte erforderlich sind, um den Registrierungs dienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) für die Verwendung mit einem Alias zu konfigurieren.
Mit dem Begriff Alias ist gemeint, dass der Dienst nicht mit dem Namen des Servers, auf welchem er installiert ist, aufgerufen wird, sondern mit einem hierbon unabhängigen, generischen Namen. Die Verwendung eines Alias ermöglicht, dass der Dienst zu einem späteren Zeitpunkt auf ein anderes System umgezogen werden kann, ohne dass die neue Adresse allen Teilnehmern mitgeteilt werden muss.
„Den Network Device Enrollment Service (NDES) für die Verwendung mit einem Alias konfigurieren“ weiterlesenKonfigurieren der Zertifizierungsstelle auf einen statischen Port (RPC-Endpunkt)
In der Standardkonfiguration ist die Zertifikatbeantragungs-Schnittstelle der Zertifizierungsstelle darauf konfiguriert, dynamische Ports für die eingehenden RPC/DCOM Verbindungen auszuhandeln (näheres siehe Artikel "Benötigte Firewallregeln für Active Directory Certificate Services").
| Netzwerkprotokoll | Ziel-Port | Protokoll |
|---|---|---|
| TCP | 135 | RPC Endpoint Mapper |
| TCP | 49152-65535 | RPC dynamische Ports |
Diese Konfiguration ist nicht in jeder Unternehmens-Umgebung realisierbar. Oftmals gibt es restriktive Firewallregeln, welche die Verwendung dynamischer Netzwerk-Ports nicht erlauben.
In einem solchen Fall muss die Zertifizierungsstelle auf einen statischen Port konfiguriert werden.
„Konfigurieren der Zertifizierungsstelle auf einen statischen Port (RPC-Endpunkt)“ weiterlesenAbfrage der konfigurierten RPC-Endpunkte einer Zertifizierungsstelle
In der Standardkonfiguration ist die Zertifikatbeantragungs-Schnittstelle der Zertifizierungsstelle darauf konfiguriert, dynamische Ports für die eingehenden RPC/DCOM Verbindungen auszuhandeln (näheres siehe Artikel "Benötigte Firewallregeln für Active Directory Certificate Services").
Es ist jedoch auch möglich, die Zertifizierungsstelle auf einen statischen Port zu konfigurieren (siehe Artikel "Konfigurieren der Zertifizierungsstelle auf einen statischen Port (RPC-Endpunkt)").
Nachfolgend wird beschrieben, wie die aktuelle Konfiguration der Zertifizierungsstelle überprüft werden kann.
„Abfrage der konfigurierten RPC-Endpunkte einer Zertifizierungsstelle“ weiterlesenEinordnung der ADCS-Komponenten in das administrative Schichtenmodell (Administrative Tiering Model)
Implementiert man neben den Active Directory Certificate Services auch das administrative Schichtenmodell (Administrative Tiering Model) für den Active Directory Verzeichnisdienst, stellt sich die Frage der Zuordnung der einzelnen PKI-Komponenten in dieses Modell, um eine zielgerichtete Sicherheitshärtung vornehmen zu können.
„Einordnung der ADCS-Komponenten in das administrative Schichtenmodell (Administrative Tiering Model)“ weiterlesenManuelles Zuweisen eines Remotedesktop (RDP) Zertifikats
Wurde ein Remotedesktop-Zertifikat manuell beantragt, muss es dem Remotedesktop-Sitzungshost anschließend noch zugewiesen werden.
„Manuelles Zuweisen eines Remotedesktop (RDP) Zertifikats“ weiterlesenManuelle Beantragung eines Remotedesktop (RDP) Zertifikats
Es gibt Fälle, in welchen man Remotedesktop-Zertifikate nicht von einer Zertifizierungsstelle in der eigenen Active Directory Gesamtstruktur beziehen kann oder möchte, beispielsweise wenn das betreffende System kein Domänenmitglied ist.
In diesem Fall ist die Verwendung von Zertifikatvorlagen nicht möglich, und man muss manuell einen Zertifikatantrag (Certificate Signing Request, CSR erstellen).
„Manuelle Beantragung eines Remotedesktop (RDP) Zertifikats“ weiterlesenDie Erstellung einer manuellen Zertifikatanforderung schlägt fehl mit Fehlermeldung "Expected INF file section name 0xe0000000"
Folgendes Szenario angenommen:
- Es wird eine Informationsdatei für eine manuelle Zertifikatanforderung erstellt.
- Die Erstellung der Zertifikatanforderung unter Verwendung der Datei schlägt mit folgender Fehlermeldung fehl:
Expected INF file section name 0xe0000000 (INF: -536870912)„Die Erstellung einer manuellen Zertifikatanforderung schlägt fehl mit Fehlermeldung "Expected INF file section name 0xe0000000"“ weiterlesen
Eine manuell erstellte Zertifikatanforderung an eine Zertifizierungsstelle senden
Liegt eine Zertifikatanforderung, beispielsweise nach manueller Erzeugung, in Form einer Textdatei (üblicherweise mit Endung .CSR oder .REQ) vor, kann diese mit Bordmitteln an die Zertifizierungsstelle gesendet werden.
„Eine manuell erstellte Zertifikatanforderung an eine Zertifizierungsstelle senden“ weiterlesenDie Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit dem Fehlercode "WS_E_ENDPOINT_FAULT_RECEIVED"
Folgendes Szenario angenommen:
- Es ist ein Certificate Enrollment Web Service (CES) im Netzwerk implementiert.
- Es wird eine Zertifikatanforderung an den CES gesendet.
- Die Beantragung des Zertifikats schlägt mit folgender Fehlermeldung fehl:
A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)„Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit dem Fehlercode "WS_E_ENDPOINT_FAULT_RECEIVED"“ weiterlesen
Chrome und Safari limitieren SSL Zertifikate auf ein Jahr Gültigkeit
Apple hat vor kurzem angekündigt, dass der Safari-Browser künftig nur noch Zertifikate mit einer Gültigkeit von 398 Tagen akzeptieren wird, sofern diese ab 1. September 2020 ausgestellt wurden.
Mozilla und Google wollen in ihren Browsern ein vergleichbares Verhalten implementieren. Es stellt sich also die Frage, ob diese Änderung Auswirkungen auf interne Zertifizierungsstellen haben wird – ob künftig also auch interne SSL-Zertifikate diese Regeln befolgen müssen, wie es beispielsweise bei der Erzwingung des RFC 2818 durch Google der Fall war.
„Chrome und Safari limitieren SSL Zertifikate auf ein Jahr Gültigkeit“ weiterlesenLiteratur und weitere Ressourcen über Public Key Infrastrukturen und Active Directory Certificate Services
Nachfolgend eine Übersicht über am Markt erhältliche Literatur zum Thema Public Key Infrastrukturen und Active Directory Certificate Services sowie Online-Ressourcen von Microsoft und anderen PKI Spezialisten.
„Literatur und weitere Ressourcen über Public Key Infrastrukturen und Active Directory Certificate Services“ weiterlesenPerformanceprobleme bei Auditierung von "Start and stop Active Directory Certificate Services"
Bei der Konfiguration der Auditierungseinstellungen einer Zertifizierungsstelle ist man geneigt, die Option "Start and Stop Active Directory Certificate Services" auszuwählen. Diese Option kann unter Umständen jedoch zu Problemen führen.
„Performanceprobleme bei Auditierung von "Start and stop Active Directory Certificate Services"“ weiterlesen
Deutsch 
English