Windows Powershell – Uwe Gradenegger

Die manuelle Zuweisung eines Remotedesktop-Zertifikats schlägt fehl mit Fehlermeldung "Invalid parameter"

Folgendes Szenario angenommen:

Ein manuell beantragtes Remotedesktop-Zertifikat soll auf einem Computer dem Remotedesktop-Sitzungshost zugewiesen werden.
Der Vorgang schlägt mit folgender Fehlermeldung fehl:

Set-WMIInstance : Invalid parameter
 At line:1 char:1
 Set-WMIInstance -path $TerminalServicesConfig.__path -argument @{SSLC …
 ~~~~~~~~~~~~~~~~~ CategoryInfo          : InvalidOperation: (:) [Set-WmiInstance], ManagementException
 FullyQualifiedErrorId : SetWMIManagementException,Microsoft.PowerShell.Commands.SetWmiInstance

Den Autoenrollment Prozess für den angemeldeten Benutzer programmatisch auslösen

Folgendes Szenario angenommen:

Man schreibt ein Script oder eine Anwendung, die den Autoenrollment Prozess für den aktuell angemeldeten Benutzer auslösen soll.
Man stellt hierbei fest, dass der geplante Task nicht ausgeführt werden kann.
Die Fehlermeldung lautet:

The user account does not have permissions to run this task.

Fehlersuche für die automatische Zertifikatbeantragung (Autoenrollment) via RPC/DCOM

Folgendes Szenario angenommen:

Es ist eine Zertifikatvorlage für die automatische Beantragung von Zertifikaten konfiguriert (Autoenrollment).
Die Zertifikatvorlage ist auf einer ins Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) veröffentlicht.
Die für die automatische Zertifikatbeantragung konfigurierten Benutzer oder Computer beantragen allerdings nicht wie vorgesehen Zertifikate.

Nachfolgend eine Anleitung zur Fehlersuche.

Der Schlüsselalgorithmus von Zertifikatanforderungen wird vom Policy Modul der Zertifizierungsstelle nicht überprüft

Folgendes Szenario angenommen:

Es ist eine Zertifikatvorlage für die Verwendung von auf elliptischen Kurven basierenden Schlüsseln konfiguriert (z.B. ECDSA_P256).
Als Folge dessen ist eine Mindest-Schlüssellänge von 256 Bit konfiguriert.
Es werden dennoch auch Zertifikatanforderungen, die andere ECC-Kurven oder RSA-basierte Schlüssel verwenden, signiert.

Codesignatur für PowerShell Scriptdateien

Nachfolgend wird beschrieben, welche Optionen es für die Ausführung von PowerShell Skriptdateien gibt, und welche Möglichkeiten sich durch das Signieren dieser ergibt.

Die Installation einer Zertifizierungsstelle schlägt fehl mit Fehlermeldung "The Certification Authority is already installed."

Folgendes Szenario angenommen:

Es wird eine Zertifizierungsstelle installiert.
Bei der Installation ist ein Fehler aufgetreten, der einen erneuten Versuch erforderlich gemacht hat.
Die Zertifizierungsstellen-Rolle wurde deinstalliert und die Rollen-Konfiguration anschließend erneut versucht.
Die Rollenkonfiguration schlägt mit folgender Fehlermeldung fehl:

The Certification Authority is already installed. If you are trying to reinstall the role service, you must first uninstall it.

Der Onlineresponder (OCSP) meldet "The object identifier does not represent a valid object. 0x800710d8 (WIN32: 4312 ERROR_OBJECT_NOT_FOUND)"

Folgendes Szenario angenommen:

Es ist ein Onlineresponder (OCSP) im Netzwerk konfiguriert.
Für eine Zertifizierungsstelle ist OCSP aktiviert und eine Sperrkonfiguration eingerichtet.
Die Verwaltungskonsole für den Onlineresponder zeigt folgenden Status für die Sperrkonfiguration an:

Type: Microsoft CRL-based revocation status provider
The revocation provider failed with the current configuration. The object identifier does not represent a valid object. 0x800710d8 (WIN32: 4312 ERROR_OBJECT_NOT_FOUND), 0x800710d8

Konfigurieren einer Zertifikatvorlage für die Verwendung des Microsoft Platform Crypto Provider, um Schutz des privaten Schlüssels durch ein Trusted Platform Module (TPM) zu ermöglichen

Seit Windows 8 ist es möglich, dass private Schlüssel für Zertifikate mit einem – sofern vorhanden – Trusted Platform Modul (TPM) geschützt werden. Dadurch ist eine echte Nichtexportierbarkeit des Schlüssels gegeben.

Nachfolgend wird der Prozess zur Einrichtung einer Zertifikatvorlage, die ein Trusted Platform Modul verwendet, beschrieben.

Signieren von Zertifikaten unter Umgehung der Zertifizierungsstelle

Immer wieder kommt in Diskussionen zur Sicherheit einer Zertifizierungsstelle auf, dass ein Missbrauch der Zertifizierungsstelle durch deren Sicherheitseinstellungen eingedämmt werden könnte.

Dass die Integrität einer Zertifizierungsstelle jedoch unmittelbar an ihr Schlüsselmaterial gebunden ist und sie somit durch dieses auch kompromittiert werden kann, ist auf den Ersten Blick nicht offensichtlich.

Muss man sich die Zertifizierungsstellen-Software als eine Art Management um das Schlüsselmaterial herum vorstellen. Die Software bietet beispielsweise eine Online-Schnittstelle für die Zertifikatbeantragung an, kümmert sich um die Authentifizierung der Antragsteller, um die automatisierte Durchführung von Signaturoperationen (Ausstellen von Zertifikaten und Sperrlisten) und deren Protokollierung (Zertifizierungsstellen-Datenbank, Auditprotokoll, Ereignisprotokoll).

Signaturoperationen benötigen jedoch nichts weiter als den privaten Schlüssel der Zertifizierungsstelle. Nachfolgend wird anhand eines Beispiels aufgezeigt, wie ein Angreifer, wenn er Zugang zum privaten Schlüssel der Zertifizierungsstelle erhält, Zertifikate erzeugen und ausstellen kann, ohne dass die Zertifizierungsstellen-Software und deren Sicherheitsmechanismen dies mitbekommen würden.

Mit einem solchen Zertifikat wäre es im schlechtesten Fall sogar möglich, die Active Directory Gesamtstruktur unerkannt zu übernehmen.

Regelmäßige Passwortänderung bei Konfiguration des Registrierungsdienstes für Netzwerkgeräte (NDES) mit einem statischen Passwort

Angenommen, man betreibt einen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES), welcher darauf konfiguriert ist, ein statisches Passwort zu verwenden. In diesem Fall ändert sich, im Gegensatz zur Standardkonfiguration, das Passwort für die Zertifikatbeantragung durch NDES-Clients niemals.

Vielleicht strebt man aber einen Zwischenweg an, beispielsweise eine tägliche Änderung des Passworts. Nachfolgend wird ein Weg beschrieben, wie die Änderung des Passworts automatisiert werden kann.

Zertifikatbeantragung für Windows-Systeme über den Registrierungsdienst für Netzwerkgeräte (NDES) mit Windows PowerShell

Möchte man Windows-Systeme mit Zertifikaten ausrüsten, welche nicht die Möglichkeit haben, direkt mit einer Active Directory integrierten Zertifizierungsstelle zu kommunizieren, oder die sich gar überhaupt nicht in der gleichen Active Directory Gesamtstruktur befinden, bleibt in den meisten Fällen nur die manuelle Installation von Zertifikaten.

Seit Windows 8.1 / Windows Server 2012 R2 befindet sich jedoch ein integrierter Client für das Simple Certificate Enrollment Protocoll (SCEP) an Bord. Serverseitig wird SCEP über den Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) in der Microsoft-PKI seit Windows Server 2003 implementiert.

Eine besonders interessante Eigenschaft von SCEP ist, dass das Protokoll eine Erneuerung eines Zertifikats unter Angabe eines bereits vorhandenen erlaubt. Was läge also näher, als diese Schnittstelle zu verwenden? Was noch fehlt, ist eine entsprechende Automatisierung über die Windows PowerShell.

Die Installation einer ins Active Directory integrierten Zertifizierungsstelle mittels Windows PowerShell schlägt fehl mit Fehlermeldung "A value for the attribute was not in the acceptable range of values. 0x80072082 (WIN32: 8322 ERROR_DS_RANGE_CONSTRAINT)"

Folgendes Szenario angenommen:

Es wird eine ins Active Directory integrierte Zertifizierungsstelle (Enterprise CA) mittels Windows PowerShell installiert (Install-AdcsCertificationAuthority).
Die Rollenkonfiguration schlägt mit folgender Fehlermeldung fehl:

Install-AdcsCertificationAuthority : Active Directory Certificate Services setup failed with the following error: A value for the attribute was not in the acceptable range of values. 0x80072082 (WIN32: 8322 ERROR_DS_RANGE_CONSTRAINT)

Die Beantragung eines Zertifikats über die Zertifikatregistrierungs-Webdienste mittels Windows PowerShell schlägt fehlt mit Fehlermeldung "Access was denied by the remote endpoint. 0x803d0005 (-2143485947 WS_E_ENDPOINT_ACCESS_DENIED)"

Folgendes Szenario angenommen:

Es wird versucht, ein Zertifikat via Windows PowerShell über die Zertifikatbeantragungs-Richtliniendienste (Certificate Enrollment Web Services) zu beantragen.
Die Beantragung schlägt mit folgender Fehlermeldung fehl:

Get-Certificate : CX509EnrollmentPolicyWebService::LoadPolicy: Access was denied by the remote endpoint. 0x803d0005 (-2143485947 WS_E_ENDPOINT_ACCESS_DENIED)

Die Beantragung eines Zertifikats über die Zertifikatregistrierungs-Webdienste mittels Windows PowerShell schlägt fehlt mit Fehlermeldung "Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)"

Folgendes Szenario angenommen:

Es wird versucht, ein Zertifikat via Windows PowerShell über die Zertifikatbeantragungs-Richtliniendienste (Certificate Enrollment Web Services) zu beantragen. Der Name der Zertifikatvorlage wird mit dem -Template Argument mit angegeben.
Die Beantragung schlägt mit folgender Fehlermeldung fehl:

Get-Certificate : CertEnroll::CX509CertificateTemplates::get_ItemByName: Cannot find object or property. 0x80092004

(-2146885628 CRYPT_E_NOT_FOUND)

Manuelles Zuweisen eines Remotedesktop (RDP) Zertifikats

Wurde ein Remotedesktop-Zertifikat manuell beantragt, muss es dem Remotedesktop-Sitzungshost anschließend noch zugewiesen werden.