| Ereignisquelle: | Microsoft-Windows-TerminalServices-RemoteConnectionManager |
| Ereignis-ID: | 1051 (0xC000041B) |
| Ereignisprotokoll: | System |
| Ereignistyp: | Fehler |
| Ereignistext (englisch): | The RD Session Host Server is configured to use SSL with user selected certificate, however, no usable certificate was found on the server. The default certificate will be used for RD Session Host Server authentication from now on. Please check the security settings by using the Remote Desktop Session Host Configuration tool in the Administrative Tools folder. |
| Ereignistext (deutsch): | Der Remotedesktop-Sitzungshostserver ist für die Verwendung von SSL mit einem vom Benutzer ausgewählten Zertifikat konfiguriert, jedoch wurde kein verwendbares Zertifikat auf dem Server gefunden. Ab jetzt wird für die Remotedesktop-Sitzungshostserver-Authentifizierung das Standardzertifikat verwendet. Überprüfen Sie die Sicherheitseinstellungen mithilfe des Tools "Konfiguration des Remotedesktop-Sitzungshosts" im Ordner "Verwaltung". |
Grundlagen: Ersetzen (Superseding) von Zertifikatvorlagen
Mit der Einführung der Zertifikatvorlagen der Version 2 zusammen mit Windows XP und Windows Server 2003 wurde die Option eingeführt, dass eine Zertifikatvorlage eine oder mehrere andere ersetzen kann.
Hiermit ist es möglich, ausgestellte Zertifikate durch solche einer anderen Zertifikatvorlage zu ersetzen, oder mehrere Zertifikatvorlagen zu einer einzigen hin zu konsolidieren.
„Grundlagen: Ersetzen (Superseding) von Zertifikatvorlagen“ weiterlesenGrundlagen: Cryptographic Service Provider (CSP) und Key Storage Provider (KSP)
Seit Windows NT 4.0 gibt es im Rahmen der CryptoAPI die Cryptographic Service Provider (CSP).
Sinn ist, dass sich eine Anwendung nicht um die konkrete Implementierung der Schlüsselverwaltung kümmern muss, sondern dies generischen Betriebssystem-Schnittstellen überlassen kann. Ebenso soll hiermit vermieden werden, dass kryptographische Schlüssel im Sicherheitskontext des Benutzers/der verwendenen Anwendung in den Arbeitsspeicher geladen werden (ein fataler Sicherheitsvorfall, der genau auf diesem Problem basierte war der Heartbleed Vorfall).
Beispielsweise spielt es für die Zertifizierungsstellen-Software technisch keine Rolle, wie ihr privater Schlüssel geschützt ist – ob in Software oder beispielsweise mit einem Hardware Security Modul (HSM). Der Aufruf des privaten Schlüssel ist für die Zertifizierungsstelle immer identisch.
Mit Windows Vista und der Einführung der Cryptography Next Generation (CNG) als Ablöser für die CryptoAPI wurden die Key Storage Provider (KSP) eingeführt.
„Grundlagen: Cryptographic Service Provider (CSP) und Key Storage Provider (KSP)“ weiterlesenDie Beantragung von Remotedesktop-Zertifikaten schlägt fehl mit Fehlermeldung "The permissions on the certificate template do not allow the current user to enroll for this type of certificate."
Folgendes Szenario angenommen:
- Maschinen sind per Gruppenrichtlinie konfiguriert, Zertifikate für den Remotedesktop-Sitzungshost zu beantragen.
- Die Zertifikate werden jedoch nicht beantragt.
- Im Ereignisprotokoll der betroffenen System wird das Ereignis mit ID 1064 der Quelle Terminalservices-RemoteConnectionManager protokolliert:
The RD Session Host server cannot install a new template-based certificate to be used for Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) authentication and encryption. The following error occurred: The permissions on the certificate template do not allow the current user to enroll for this type of certificate.„Die Beantragung von Remotedesktop-Zertifikaten schlägt fehl mit Fehlermeldung "The permissions on the certificate template do not allow the current user to enroll for this type of certificate."“ weiterlesen
Die Beantragung von Remotedesktop-Zertifikaten schlägt fehl mit Fehlermeldung "The requested certificate template is not supported by this CA."
Folgendes Szenario angenommen:
- Maschinen sind per Gruppenrichtlinie konfiguriert, Zertifikate für den Remotedesktop-Sitzungshost zu beantragen.
- Die Zertifikate werden jedoch nicht beantragt oder bestehende Zertifikate laufen ohne Erneuerung ab.
- Im Ereignisprotokoll der betroffenen System wird das Ereignis mit ID 1064 der Quelle Terminalservices-RemoteConnectionManager protokolliert:
The RD Session Host server cannot install a new template-based certificate to be used for Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) authentication and encryption. The following error occurred: The requested certificate template is not supported by this CA.„Die Beantragung von Remotedesktop-Zertifikaten schlägt fehl mit Fehlermeldung "The requested certificate template is not supported by this CA."“ weiterlesen
Der lokale Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen wird nicht aus dem Active Directory synchronisiert
Folgendes Szenarion angenommen:
- Es ist eine Zertifizierungsstellen-Hierarchie im Netzwerk etabliert und die Stammzertifizierungsstelle ist in der Configuration-Partition der Active Directory Gesamtstruktur abgebildet.
- Die Domänenmitglieder sind konfiguriert, den Autoenrollment-Prozess auszuführen und somit vertrauenswürdige Stammzertifizierungsstellen aus der Configuration-Partition zu aktualisieren.
- Bei einigen Clients funktioniert dieser Prozess allerdings nicht. Die Stammzertifizierungsstellen-Zertifikate werden nicht automatisch heruntergeladen und in den lokalen Vertrauensspeicher eingetragen.
- Als Folgeerscheinung können Zertifikatbeantragungen fehlschlagen, da beispielsweise der Zertifizierungsstellen-Hierarchie nicht vertraut wird.
Zertifikatanforderungen für den Onlineresponder (OCSP) schlagen sporadisch fehl mit Fehlermeldung "The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)"
Folgendes Szenario angenommen:
- Es ist ein Onlineresponder (OCSP) im Netzwerk eingerichtet.
- Die Zertifizierungsstellen melden in unregelmäßigen Abständen, dass Zertifikatanforderungen für die OCSP-Antwortsignaturzertifikate mit folgender Fehlermeldung fehlschlagen:
The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK).„Zertifikatanforderungen für den Onlineresponder (OCSP) schlagen sporadisch fehl mit Fehlermeldung "The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)"“ weiterlesen
Umfangreiches Whitepaper über Angriffe auf die und mit der Microsoft PKI veröffentlicht
Will Schroeder und Lee Christensen haben unter dem Titel "Certified Pre-Owned – Abusing Active Directory Certificate Services" ein umfangreiches Whitepaper über Angriffe auf die Microsoft PKI und mit der Microsoft PKI veröffentlicht, und angekündigt, darüber auf der diesjährigen BlackHat (31.07.2021 bis 05.08.2021) zu berichten.
Nahezu parallel hierzu wurde außerdem der Artikel "Microsoft ADCS – Abusing PKI in Active Directory Environment" von Jean Marsault veröffentlicht.
Den Autoenrollment Prozess für den angemeldeten Benutzer programmatisch auslösen
Folgendes Szenario angenommen:
- Man schreibt ein Script oder eine Anwendung, die den Autoenrollment Prozess für den aktuell angemeldeten Benutzer auslösen soll.
- Man stellt hierbei fest, dass der geplante Task nicht ausgeführt werden kann.
- Die Fehlermeldung lautet:
The user account does not have permissions to run this task.„Den Autoenrollment Prozess für den angemeldeten Benutzer programmatisch auslösen“ weiterlesen
Protokollierung für die automatische Zertifikatbeantragung (Autoenrollment) aktivieren
Nachfolgend eine Übersicht über die für die von Windows-Zertifikat-Clients erzeugten Ereignisse in der Windows-Ereignisanzeige, deren Aktivierung und deren Identifikation.
„Protokollierung für die automatische Zertifikatbeantragung (Autoenrollment) aktivieren“ weiterlesenFehlersuche für die automatische Zertifikatbeantragung (Autoenrollment) via RPC/DCOM
Folgendes Szenario angenommen:
- Es ist eine Zertifikatvorlage für die automatische Beantragung von Zertifikaten konfiguriert (Autoenrollment).
- Die Zertifikatvorlage ist auf einer ins Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) veröffentlicht.
- Die für die automatische Zertifikatbeantragung konfigurierten Benutzer oder Computer beantragen allerdings nicht wie vorgesehen Zertifikate.
Nachfolgend eine Anleitung zur Fehlersuche.
„Fehlersuche für die automatische Zertifikatbeantragung (Autoenrollment) via RPC/DCOM“ weiterlesenDetails zum Ereignis mit ID 1 der Quelle Microsoft-Windows-CertificateServicesClient
| Ereignisquelle: | Microsoft-Windows-CertificateServicesClient |
| Ereignis-ID: | 1 (0x1) |
| Ereignisprotokoll: | Application |
| Ereignistyp: | Information |
| Ereignistext (englisch): | Certificate Services Client has been started successfully. |
| Ereignistext (deutsch): | Der Zertifikatdienstclient wurde erfolgreich gestartet. |
Details zum Ereignis mit ID 502 der Quelle Microsoft-Windows-CertificateServicesClient
| Ereignisquelle: | Microsoft-Windows-CertificateServicesClient |
| Ereignis-ID: | 502 (0x1F6) |
| Ereignisprotokoll: | Application |
| Ereignistyp: | Warnung |
| Ereignistext (englisch): | Certificate Services Client failed to register Group Policy notifications. Error code: %1. |
| Ereignistext (deutsch): | Fehler bei der Registrierung der Gruppenrichtlinienbenachrichtigungen durch den Zertifikatdienstclient. Fehlercode: %1. |
Details zum Ereignis mit ID 4 der Quelle Microsoft-Windows-CertificateServicesClient
| Ereignisquelle: | Microsoft-Windows-CertificateServicesClient |
| Ereignis-ID: | 4 (0x4) |
| Ereignisprotokoll: | Application |
| Ereignistyp: | Information |
| Ereignistext (englisch): | Certificate Services Client has detected network dis-connectivity. |
| Ereignistext (deutsch): | Vom Zertifikatdienstclient wurde keine Netzwerkkonnektivität festgestellt. |
Details zum Ereignis mit ID 2 der Quelle Microsoft-Windows-CertificateServicesClient
| Ereignisquelle: | Microsoft-Windows-CertificateServicesClient |
| Ereignis-ID: | 2 (0x2) |
| Ereignisprotokoll: | Application |
| Ereignistyp: | Information |
| Ereignistext (englisch): | Certificate Services Client has been stopped. |
| Ereignistext (deutsch): | Der Zertifikatdienstclient wurde angehalten. |
Deutsch 
English