Enroll on Behalf of (EOBO) – Uwe Gradenegger

Den Subject Alternative Name (SAN) eines Zertifikats vor dessen Ausstellung verändern – aber sicher!

In Netz kursieren leider viel zu viele Anleitungen (auch die großen Player sind hiervon nicht ausgenommen, nicht einmal Microsoft selbst oder der Großmeister Komar), welche fatalerweise empfehlen, dass das Flag EDITF_ATTRIBUTESUBJECTALTNAME2 auf der Zertifizierungsstelle gesetzt werden sollte – angeblich damit man in der Lage wäre, für manuell gestellte Zertifikatanforderungen Zertifikate mit Subject Alternative Name (SAN) Erweiterung ausstellen zu können.

Leider ist diese Vorgehensweise nicht nur unnötig, sie hat auch einige unangenehme Nebenwirkungen, welche einem Angreifer im schlechtesten Fall dazu verhelfen können, die gesamte Active Directory Gesamtstruktur zu übernehmen.

Grundlagen: Enroll on Behalf of (EOBO)

Nachfolgend eine Beschreibung der Enroll on Behalf Of Funktion sowie Abgrenzung zu anderen Methoden, Zertifikate zu beantragen.

Die Beantragung eines Zertifikats über Enroll on Behalf of (EOBO) schlägt fehl mit der Fehlermeldung "The operation is denied. It can only be performed by a certificate manager that is allowed to manage certificates for the current requester."

Es wird für einen Benutzer ein Zertifikat von einer Zertifizierungsstelle über die Verwaltungskonsole für Zertifikate (certmgr.msc) beantragt.
Man verwendet hierbei den Enroll on Behalf of (EOBO) Mechanismus.
Die Beantragung des Zertifikats schlägt mit folgender Fehlermeldung fehl:

The operation is denied. It can only be performed by a certificate manager that is allowed to manage certificates for the current requester.

Die Beantragung eines Zertifikats über Enroll on Behalf of (EOBO) schlägt fehl mit der Fehlermeldung "A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)"

Es wird für einen Benutzer ein Zertifikat von einer Zertifizierungsstelle über die Verwaltungskonsole für Zertifikate (certmgr.msc) beantragt.
Man verwendet hierbei den Enroll on Behalf of (EOBO) Mechanismus.
Die Beantragung des Zertifikats schlägt mit folgender Fehlermeldung fehl:

A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)

Die Beantragung eines Zertifikats über Enroll on Behalf of (EOBO) ist nicht möglich, da die Zertifikatvorlage nicht angezeigt wird. Die Fehlermeldung lautet "The certificate template requires too many RA signatures."

Folgendes Szenario angenommen:

Es wird für einen Benutzer oder einen Computer ein Zertifikat von einer Zertifizierungsstelle über die Verwaltungskonsole für Zertifikate (certlm.msc oder certmgr.msc) beantragt.
Man verwendet hierbei den Enroll on Behalf of (EOBO) Mechanismus.
Die gewünschte Zertifikatvorlage wird nicht angezeigt.
Aktiviert man das Kontrollkästchen "Show all templates", wird für die gewünschte Zertifikatvorlage folgende Fehlermeldung angezeigt:

The certificate template requires too many RA signatures. Only one RA signature is allowed. Multiple request agent signatures are not permitted on a certificate request.

Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)

Das Simple Certificate Enrollment Protocol (SCEP) wurde in den frühen 2000er Jahren von Verisign für Cisco entwickelt, um eine vereinfachte Methode zum Beantragen von Zertifikaten verwenden zu können. Zuvor musste für Netzwerkgeräte manuell eine Zertifikatanforderung auf jedem Gerät erzeugt, zu einer Zertifizierungsstelle übermittelt und anschließend das ausgestellte Zertifikat wieder manuell auf dem entsprechenden Gerät installiert werden.

Gibt es eine Abhängigkeit des Registrierungsdienstes für Netzwerkgeräte (NDES) mit dem NTAuthCertificates Objekt?

Der Registrierungsdienst für Netzwerkgeräte (NDES) verfügt über zwei Registration Authority Zertifikate. Mit dem Enrollment-Agenten-Zertifikat werden Zertifikatanforderungen signiert und man kann die NDES-Gerätevorlage entsprechend konfigurieren, sodass Zertifikate auch nur dann ausgestellt werden, wenn die eingereichten Zertifikatanforderungen auch eine entsprechende Signatur aufweisen.

Plant man, die mit dem NDES verbundene Zertifizierungsstelle aus dem NTAuthCertificates Objekt zu entfernen, kommt eventuell die Frage auf, ob hier wechselseitige Abhängigkeiten zu berücksichtigen sind – schließlich erfordert Enroll on Behalf Of (EOBO) das Vorhandensein des Zertifizierungsstellen-Zertifikats in NTAuthCertificates.

Details zum Ereignis mit ID 21 der Quelle Microsoft-Windows-CertificationAuthority

Ereignisquelle:	Microsoft-Windows-CertificationAuthority
Ereignis-ID:	21 (0x15)
Ereignisprotokoll:	Application
Ereignistyp:	Fehler
Symbolischer Name:	MSG_E_PROCESS_REQUEST_FAILED
Ereignistext (englisch):	Active Directory Certificate Services could not process request %1 due to an error: %2. The request was for %3.
Ereignistext (deutsch):	Die Anforderung %1 konnte aufgrund eines Fehlers nicht ausgeführt werden: %2. Die Anforderung bezog sich auf %3.

Details zum Ereignis mit ID 22 der Quelle Microsoft-Windows-CertificationAuthority

Ereignisquelle:	Microsoft-Windows-CertificationAuthority
Ereignis-ID:	22 (0x16)
Ereignisprotokoll:	Application
Ereignistyp:	Fehler
Symbolischer Name:	MSG_E_PROCESS_REQUEST_FAILED_WITH_INFO
Ereignistext (englisch):	Active Directory Certificate Services could not process request %1 due to an error: %2. The request was for %3. Additional information: %4
Ereignistext (deutsch):	Die Anforderung %1 konnte aufgrund eines Fehlers nicht ausgeführt werden: %2. Die Anforderung bezog sich auf %3. Weitere Informationen: %4