Nach der Installation einer Zertifikatbeantragungs-Richtlinienservers (Certificate Enrollment Policy Web Service, CEP), oder nach umfangreicheren Wartungsarbeiten sollte ein ausgiebiger Funktionstest erfolgen, um sicherzustellen, dass alle Komponenten wie gewünscht arbeiten.
Les services web d'enregistrement des certificats (Certificate Enrollment Policy Web Service, CEP et Certificate Enrollment Web Service, CES) permettent de demander et de renouveler automatiquement les certificats d'une autorité de certification via une interface web. Il n'est donc pas nécessaire de contacter directement l'autorité de certification par Remote Procedure Call (RPC). Pour une description plus détaillée, voir l'article "Bases de la demande de certificat via Certificate Enrollment Web Services (CEP, CES)„ .
Procédure
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Zu einem Funktionstest des Zertifikatbeantragungs-Richtlinienservers gehören die folgenden Schritte:
- Start des Zertifikatbeantragungs-Richtlinienserver-Dienstes sicherstellen
- Überprüfen der Ereignisanzeige des Zertifikatbeantragungs-Richtlinienservers
- Verbindung zum Zertifikatbeantragungs-Richtlinienserver überprüfen
- Zertifikatbeantragungs-Richtlinie erstellen
- Zertifikatvorlagen über den Zertifikatbeantragungs-Richtlinienserver abfragen
- Ein Zertifikat mit CEP beantragen
Details: Start des Zertifikatbeantragungs-Richtlinienserver-Dienstes sicherstellen
Da der Zertifikatbeantragungs-Richtlinienserver als Modul innerhalb des Internet Information Server (IIS) Dienstes realisiert ist, kann man den Dienststart nicht über die Verwaltungskontole für Dienste (services.msc) kontrollieren. Stattdessen wird ein entsprechendes Ereignis mit Nr. 1 in der Ereignisanzeige protokolliert.
Dieses wird jedoch erst beim ersten Aufruf durch einen Antragsteller erzeugt, sodass hierzu zunächst der weiter unten beschriebene Schritt „Verbindung zum Zertifikatbeantragungs-Richtlinienserver überprüfen“ ausgeführt werden muss.
Details: Überprüfen der Ereignisanzeige des Zertifikatbeantragungs-Richtlinienservers
Voir aussi à ce sujet l'article "Übersicht über die vom Zertifikatregistrierungs-Richtliniendienst (CEP) generierten Windows-Ereignisse„ .
Zunächst sollte die Windows-Ereignisanzeige auf dem Zertifikatbeantragungs-Richtlinienserver nach allen relevanten Ereignissen untersucht werden, die auf einen Fehler hinweisen könnten. Hierzu gibt es in der Ereignisanzeige eine vorgefertigte Ansicht unter „Custom Views“ – „Server Roles“ – „Active Directory Certificate Services“, welche bereits die benötigten Filter auf die Ereignisanzeige definiert hat.
Details: Verbindung zum Zertifikatbeantragungs-Richtlinienserver überprüfen
Die Kerberos-Authentifizierung kann mit folgendem Kommandozeilenbefehl getestet werden.
certutil -ping -kerberos -config "https://{Servername}/ADPolicyProvider_CEP_Kerberos/service.svc/CEP" CEP
Die Authentifizierung mit Benutzername und Kennwort kann mit folgendem Kommandozeilenbefehl getestet werden.
certutil -username {Domäne}\{Benutzername} -p {Passwort} -ping -config "https://{Servername}/ADPolicyProvider_CEP_UsernamePassword/service.svc/CEP" CEP
Die Authentifizierung mit einem Clientzertifikat kann mit folgendem Kommandozeilenbefehl getestet werden.
certutil -ClientCertificate {Thumbprint} -ping -config "https://{ServerName}/ADPolicyProvider_CEP_Certificate/service.svc/CEP" CEP
Si vous rencontrez des problèmes lors de cette étape, les articles suivants peuvent vous être utiles :
Details: Zertifikatbeantragungs-Richtlinie erstellen
Nun kann eine Zertifikatbeantraguns-Richtlinie konfiguriert werden. Die Vorgehensweise ist im Artikel „Configuration d'une politique de demande de certificat (Enrollment Policy) pour les services web de demande de certificat (CEP, CES)" décrit.
Si vous rencontrez des problèmes lors de cette étape, les articles suivants peuvent vous être utiles :
- La création d'une politique d'enregistrement des certificats (Enrollment Policy) pour le Certificate Enrollment Policy Web Service (CEP) échoue avec le message d'erreur "This ID conflicts with an existing ID".
- Die Erstellung einer Zertifikatregistrierungsrichtlinie (Enrollment Policy) für den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit dem Fehlercode „WS_E_INVALID_FORMAT“
- Die Erstellung einer Zertifikatregistrierungsrichtlinie (Enrollment Policy) für den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit dem Fehlercode „WS_E_ENDPOINT_NOT_FOUND“
- Die Überprüfung der Zertifikatregistrierungsrichtlinie über den Zertifikatregistrierungs-Richtlinienwebdienst (CEP) schlägt fehl mit Fehlercode „WS_E_ENDPOINT_FAULT_RECEIVED“
- Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung „You cannot request a certificate at this time because no certificate types are available.“
Details: Zertifikatvorlagen über den Zertifikatbeantragungs-Richtlinienserver abfragen
Wurde für den aktuellen Benutzer wie zuvor beschrieben eine Zertifikatbeantragungs-Richtlinie konfiguriert, kann mit dieser nun eine Abfrage der Zertifikatvorlagen über den Zertifikatbeantragungs-Richtlinienserver erfolgen.
certutil -template -policyserver *
Hierbei handelt es sich um zwischengespeicherte Informationen, die erst generiert werden, wenn zuvor eine Abfrage mit der Microsoft Management Konsolem (MMC) erfolgte.
Ein Zertifikat mit CEP beantragen
Hierfür muss zunächst auch ein Zertifikatregistrierungs-Webdienst (Certificate Enrollment Web Service, CES) im Netzwerk installiert werden. Eine Beschreibung der Vorgehensweise findet sich im Artikel „Installation d'un Certificate Enrollment Web Service (CES)„ .
Anschließend kann eine Zertifikatregistrierungs-Richtlinie eingerichtet werden und ein Zertifikat über die Webdienste beantragt werden.
Si vous rencontrez des problèmes lors de cette étape, les articles suivants peuvent vous être utiles :
- Die Beantragung eines Zertifikats über die Certificate Enrollment Web Services schlägt fehl mit Fehlermeldung „Error: The remote endpoint is unable to process the request due to being overloaded. 0x803d0012 (-2143485934 WS_E_ENDPOINT_TOO_BUSY)“
- Die Beantragung eines Zertifikats über die Certificate Enrollment Web Services schlägt fehl mit Fehlermeldung „Error: A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)“
- Die Beantragung eines Zertifikats über die Certificate Enrollment Web Services schlägt fehl mit Fehlermeldung „Error: The operation timed out 0x80072ee2 (WinHttp: 12002 ERROR_WINHTTP_TIMEOUT)“
- Die Beantragung eines Zertifikats über den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung „ERROR_WINHTTP_CONNECTION_ERROR“
- Die Beantragung eines Zertifikats über den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung „The requested certificate template is not supported by this CA.“
- La demande d'un certificat via le Certificate Enrollment Policy Web Service (CEP) échoue avec le message d'erreur "A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted".
- Die Beantragung eines Zertifikats über den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit Fehlermeldung „Error: Access was denied by the remote endpoint. 0x803d0005 -2143485947 WS_E_ENDPOINT_ACCESS_DENIED“
- La demande d'un certificat via le Certificate Enrollment Web Service (CES) échoue avec le code d'erreur "ERROR_WINHTTP_INVALID_CA".
Weitere mögliche Fehler, die an dieser Stelle auftreten können, im Zertifikatregistrierungs-Webdienst (CES) ursächlich sind, sind entsprechend im Artikel „Funktionstest durchführen für den Certificate Enrollment Web Service (CES)" décrit.
Retouches
Sofern zum Testen manuell eine Zertifikatbeantragungs-Richtlinie eingerichtet wurde, kann diese nun wieder entfernt werden. Die Vorgehensweise hierzu ist im Artikel „Suppression d'une politique de demande de certificat (Enrollment Policy) configurée manuellement" décrit.
Français 
Deutsch 
English
Les commentaires sont fermés.