Debug Protokollierung für den Certificate Enrollment Policy Web Service (CEP) aktivieren

Versucht man, einem Fehler im Certificate Enrollment Policy Web Service (CEP) auf die Spur zu kommen, ist es hilfreich, das Debug Logging zu aktivieren.

„Debug Protokollierung für den Certificate Enrollment Policy Web Service (CEP) aktivieren“ weiterlesen

Die Beantragung eines Zertifkats über den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung "ERROR_WINHTTP_CONNECTION_ERROR"

Folgendes Szenario angenommen:

  • Man versucht, ein Zertifikat über einen Certificate Enrollment Policy Web Service (CEP) von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
  • Der Vorgang schlägt mit folgender Fehlermeldung fehl:
Fehler: Die Serververbindung wurde aufgrund eines Fehlers beendet. 0x80072efe (WinHttp:12030) ERROR_WINHTTP_CONNECTION_ERROR
„Die Beantragung eines Zertifkats über den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung "ERROR_WINHTTP_CONNECTION_ERROR"“ weiterlesen

Die Beantragung eines Zertifikats über den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung "A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted."

Folgendes Szenario angenommen:

  • Man versucht, ein Zertifikat über einen Certificate Enrollment Policy Web Service (CEP) von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
  • Hierzu verwendet man die Microsoft Management Konsole (MMC), entweder für den angemeldeten Benutzer (certmgr.msc) oder für den Computer (certlm.msc).
  • Die Liste der verfügbaren Zertifikatvorlagen innerhalb der MMC ist jedoch komplett leer.
  • In der Liste der verfügbaren Zertifikatvorlagen innerhalb der MMC lässt man sich alle Zertifikatvorlagen anzeigen. Bei allen gewünschten Zertifikatvorlagen steht: 
Cannot find Object or property.
A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted.
„Die Beantragung eines Zertifikats über den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung "A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted."“ weiterlesen

Die Beantragung eines Zertifikats über den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung "Error: Access was denied by the remote endpoint. 0x803d0005 -2143485947 WS_E_ENDPOINT_ACCESS_DENIED"

Folgendes Szenario angenommen:

  • Ein Benutzer beantragt ein Zertifikat.
  • Hierfür ist eine Enrollment Policy konfiguriert, welche auf einen Certificate Enrollment Policy Web Service (CEP) verweist.
  • Die Verbindung zum CEP schlägt fehl, und der Benutzer erhält folgende Fehlermeldung: 
Error: Access was denied by the remote endpoint. 0x803d0005 -2143485947 WS_E_ENDPOINT_ACCESS_DENIED
„Die Beantragung eines Zertifikats über den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung "Error: Access was denied by the remote endpoint. 0x803d0005 -2143485947 WS_E_ENDPOINT_ACCESS_DENIED"“ weiterlesen

Die Rollenkonfiguration für den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung "Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)"

Folgendes Szenarion angenommen:

  • Es wird eine Rollenkonfiguration für den Certificate Enrollment Policy Web Service (CEP) durchgeführt.
  • Die Rollenkonfiguration schlägt mit folgender Fehlermeldung fehl: 
CCertificateEnrollmentPolicyServerSetup::InitializeInstallDefaults: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
„Die Rollenkonfiguration für den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung "Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)"“ weiterlesen

Die Rollenkonfiguration für den Certificate Enrollment Policy Web Service schlägt fehl mit Fehlermeldung "The argument is null or empty."

Folgendes Szenarion angenommen:

  • Es wird eine Rollenkonfiguration für den Certificate Enrollment Policy Web Service (CEP) mittels PowersShell (Install-AdcsEnrollmentPolicyWebService) durchgeführt.
  • Die Rollenkonfiguration schlägt mit folgender Fehlermeldung fehl:
Cannot validate argument on parameter 'SSLCertThumbprint'. The argument is null or empty. Provide an argument that is not null or empty, and then try the command again.
„Die Rollenkonfiguration für den Certificate Enrollment Policy Web Service schlägt fehl mit Fehlermeldung "The argument is null or empty."“ weiterlesen

Installation eines Certificate Enrollment Policy Web Service (CEP)

Nachfolgend wird beschrieben, wie der Certificate Enrollment Policy Web Service (CEP) installiert werden kann.

„Installation eines Certificate Enrollment Policy Web Service (CEP)“ weiterlesen

Den Certificate Enrollment Policy Web Service (CEP) für den Betrieb mit einem Domänenkonto konfigurieren

Nachfolgend wird beschrieben, wie man einen Certificate Enrollment Policy Web Service (CEP) einrichtet, dass der Dienst unter einem Domänenkonto läuft.

„Den Certificate Enrollment Policy Web Service (CEP) für den Betrieb mit einem Domänenkonto konfigurieren“ weiterlesen

Den Certificate Enrollment Policy Web Service (CEP) für den Betrieb mit einem Group Managed Service Account (gMSA) konfigurieren

Aus Sicherheitsgründen kann es sinnvoll sein, den CEP statt mit einem normalen Domänenkonto lieber mit einem Group Managed Service Account (gMSA) zu betreiben. Diese Option bietet den charmanten Vorteil, dass das Passwort des Kontos automatisch geändert wird, und dieser Schritt somit nicht von Hand vorgenommen werden muss, was leider viel zu oft vergessen wird.

„Den Certificate Enrollment Policy Web Service (CEP) für den Betrieb mit einem Group Managed Service Account (gMSA) konfigurieren“ weiterlesen

Verwenden von Authentication Mechanism Assurance (AMA) für die Absicherung der Anmeldung administrativer Konten

Bei der Authentication Mechanism Assurance (AMA) handelt es sich um eine Funktion, welche sicherstellen soll, dass ein Benutzer nur dann Mitglied einer Sicherheitsgruppe ist, wenn er sich nachweislich mit einer starken Authentifizierunsmethode (also einer Smartcard) angemeldet hat. Meldet sich der Benutzer stattdessen via Benutzername und Kennwort an, hat er keinen Zugriff auf die angeforderten Ressourcen.

Ursprünglich für den Zugriff auf Dateiserver gedacht, kann man die AMA (mit einigen Einschränkungen) jedoch auch für die administrative Anmeldung verwenden. Somit wäre es beispielsweise denkbar, dass ein Benutzer unprivilegiert ist, wenn er sich mit Benutzername und Passwort anmeldet, und über administrative Rechte verfügt, wenn er sich mit einem Zertifikat anmeldet.

„Verwenden von Authentication Mechanism Assurance (AMA) für die Absicherung der Anmeldung administrativer Konten“ weiterlesen

Die Anmeldung via Smartcard schlägt fehl mit Fehlermeldung "Signing in with a security device isn’t supported for your account."

Folgendes Szenario angenommen:

  • Ein Benutzer verfügt über ein Smartcard Logon Zertifikat und meldet sich mit diesem an der Active Directory Domäne an.
  • Die Anmeldung schlägt fehl. Folgende Fehlermeldung wird dem Benutzer an seinem Computer zurückgegeben:
Signing in with a security device isn't supported for your account. For more info, contact your administrator.
„Die Anmeldung via Smartcard schlägt fehl mit Fehlermeldung "Signing in with a security device isn’t supported for your account."“ weiterlesen

Den Zwischenspeicher für Zertifikatregistrierungsrichtlinien (Enrollment Policy Cache) für den Certificate Enrollment Policy Web Service (CEP) einsehen und löschen

Nachdem eine Zertifikatregistrierungsrichtlinie (Enrollment Policy) konfiguriert und von einem Teilnehmer verwendet wurde, werden die Ergebnisse lokal zwischengespeichert (Enrollment Policy Cache).

Nimmt man nun Veränderungen an der Infrastruktur vor, beispielsweise indem man eine neue Zertifikatvorlage auf einer per Certificate Enrollment Web Service (CES) erreichbaren Zertifizierungsstelle veröffentlicht oder entfernt, werden diese Änderungen aufgrund des Zwischenspeichers nicht sofort für die Teilnehmer sichbar.

Aus diesem Grund kann es unter Umständen hilfreich sein, den Zwischenspeicher einzusehen oder zu löschen.

„Den Zwischenspeicher für Zertifikatregistrierungsrichtlinien (Enrollment Policy Cache) für den Certificate Enrollment Policy Web Service (CEP) einsehen und löschen“ weiterlesen

Löschen einer manuell konfigurierten Zertifikatbeantragungs-Richtlinie (Enrollment Policy)

Arbeitet man mit den Certificate Enrollment Web Services und trägt man Zertifikatregistrierungsrichtlinien (Enrollment Policies) manuell auf Clientcomputern ein, stößt man auf das Phänomen, dass es keine Möglichkeit in der Zertifikate-Managementkonsole gibt, um diese zu bearbeiten oder zu löschen.

„Löschen einer manuell konfigurierten Zertifikatbeantragungs-Richtlinie (Enrollment Policy)“ weiterlesen

Die Erstellung einer Zertifikatregistrierungsrichtlinie (Enrollment Policy) für den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit der Fehlermeldung "This ID conflicts with an existing ID.”

Folgendes Szenario angenommen:

  • Es ist ein Certificate Enrollment Policy Web Service (CEP) im Netzwerk implementiert.
  • Es wird eine Enrollment Policy konfiguriert.
  • Das Testen der Verbindung schlägt mit folgender Fehlermeldung fehl:
The URI entered above has ID: "{{GUID}}". This ID conflicts with an existing ID.
„Die Erstellung einer Zertifikatregistrierungsrichtlinie (Enrollment Policy) für den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit der Fehlermeldung "This ID conflicts with an existing ID.”“ weiterlesen

Grundlagen Zertifikatbeantragung über Certificate Enrollment Web Services (CEP, CES) mit den Protokollen MS-XCEP und MS-WSTEP

Mit Windows Server 2008 R2 und Windows 7 wurde eine neue Funktionen für die Beantragung von Zertifikaten eingeführt: Die Certificate Enrollment Web Services, welche durch zwei Serverrollen abgebildet werden:

  • Certificate Enrollment Policy Web Service (CEP)
  • Certificate Enrollment Web Services (CES)

Nachfolgend werden die Hintergedanken zu diesen Rollen, ihre Funktionsweise sowie die möglichen Einsatzszenarien beschrieben.

„Grundlagen Zertifikatbeantragung über Certificate Enrollment Web Services (CEP, CES) mit den Protokollen MS-XCEP und MS-WSTEP“ weiterlesen
de_DEDeutsch
en_USEnglish de_DEDeutsch