Archives for

Zertifikatregistrierung

Wird die automatische Zertifikatregistrierung innerhalb der Domäne per Gruppenrichtlinien verwaltet, erhalten Benutzer unter Umständen nach Starten des Rechners folgende Meldung:

Sie haben Zertifikate, die bald ungültig werden oder bereits ungültig sind. Klicken Sie hier um diese Zertifikate anzusehen und um zu entscheiden, welche Aktion durchgeführt werden soll.


Durch Klicken auf diese Blase öffnet sich ein Fenster, welches die vermeintlich abgelaufenen Zertifikate auflistet. Allzu viele Optionen bietet dieses Fenster nicht – man kann lediglich die Benachrichtigung für das jeweilige Zertifikat (bzw. für alle Zertifikate) deaktivieren. Der eigentliche, entscheidende Schritt, nämlich das Zertifikat zu erneuern, wird hierüber nicht angeboten. Die Erneuerung muss entweder manuell über die MMC, oder besser (per Gruppenrichtlinie gesteuert) automatisch erfolgen.


Wird die Erneuerung per Gruppenrichtlinie gesteuert, gibt es zwei mögliche Gründe für diese Meldung:

1) Der Rechner kann die Zertifizierungsstelle nicht erreichen und somit das Zertifikat nicht erneuern.
2) Die Ablaufbenachrichtigung erfolgt zu früh (das Zertifikat ist noch länger gültig, der User wird dennoch benachrichtigt).

Für Punkt 1) kann es mehrere Ursachen geben (Server ist heruntergefahren; Firewall blockiert Traffic zwischen Rechner und Server; Rechner oder Benutzer haben nicht [mehr] die entsprechenden Berechtigungen das Zertifikat zu erneuern;…) auf die ich hier nicht eingehen möchte. Stattdessen möchte ich die Ablaufbenachrichtigung genauer betrachten.

Innerhalb der Gruppenrichtlinie (Benutzerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für öffentliche Schlüssel) kann die Ablaufbenachrichtigung in den Eigenschaften des Objekts “Zerfitikatdienstclient – Automatische Registrierung” konfiguriert werden. Diese wird in Prozent-Schritten definiert und ist standardmäßig auf 10% eingestellt.


Diese 10% sagen aus, dass der Benutzer über das Auslaufen des Zertifikats benachrichtigt wird, sobald das Zertifikat 90% seiner Gültigsdauer erreicht hat. Beispiel: Gültigkeitsdauer des Zertifikats = 100 Tage | nach 90 Tagen wird der Benutzer benachrichtigt. Um diese Benachrichtigung zu umgehen, muss die Zertifikatseerneuerung vorher, sprich innerhalb der ersten 90 Tage, stattfinden.

Read More

PKI | Certificate AutoEnrollment Ereignis-ID 6 und 13

Ausgangssituation:
Windows Server 2008 R2           als ausstellende Zertifizierungsstelle
Windows 7                                 als anfordernder Client
TMG 2010                                 als Firewall zwischen Server- und Clientnetzwerk

Client soll automatisiert ein Computerzertifikat erhalten; eine entsprechende Gruppenrichtlinie ist eingerichtet und wird auch vom Client gezogen. Der Computer erhält jedoch kein Zertifikat und in der Ereignisanzeige erscheinen die beiden Fehlermeldungen:

Ereignis-ID: 6
Quelle: CertificateServicesClient-AutoEnrollment
Bei der automatischen Zertifikatregistrierung für lokales System ist ein Fehler aufgetreten (0x800706ba) Der RPC-Server ist nicht verfügbar. 


Ereignis-ID: 13
Quelle: CertificateServicesClient-CertEnroll
Die Zertifikatregistrierung für Lokales System konnte sich nicht für ein Zertifikat Machine mit der Anforderungs-ID N/A von server.contoso.com\Root-CA (Der RPC-Server ist nicht verfügbar. 0x800706ba (WIN32: 1722)) registrieren.

Ein manuelles Anfordern des Computerzertifikats über die MMC schlägt ebenfalls fehl:

Eine Firewallregel ist auf dem TMG eingerichtet, die den Zugriff über RPC vom Clientnetzwerk auf das Servernetzwerk (bzw. den einen Server im anderen Netzwerk) erlaubt. In diesem Fall dürfen 2 Clients auf den Exchange zugreifen, der zugleich die Rolle der Zertifizierungsstelle inne hält:

Die Protokollierung des TMG zeigt während zum Zeitpunkt der Zertifikatsanforderung den Zugriff über Port 135 und keine Fehler:

Da TMG in RPC-Regeln eine „Strikte RPC-Einhaltung erzwingt“, muss über das Kontextmenü der Firewallregel….

….und der dort befindlichen RPC-Protokollrichtlinie die strikte RPC-Einhaltung deaktiviert werden:

In der TMG-Protokollierung ist nun ersichtlich, dass nicht nur über Port 135 sondern einen beliebigen Portzwischen 1024 und 65535 gesprochen wird (im Beispiel über Port 15968):

Da sich dieser Port bei der nächsten Zertifikatsanforderung ändern kann, muss die Zertifizierungsstelle auf einen festen Port konfiguriert werden. Anschließend muss dieser Port über ein benutzerdefiniertes Protokoll im TMG eingerichtet und der RPC-Regel hinzugefügt werden.

Dazu auf der Zertifzierungsstelle:
> Ausführen | dcomcnfg.exe | [ENTER]
> Komponentendienste | Computer | Arbeitsplatz | DCOM-Konfiguration
> Rechstklick: CertSrv Request | Eigenschaften | Reiter „Endpunkte“
> Hinzufügen | Statischen Endpunkt verwenden … (beliebigen Port zwischen 1024 und
65535 wählen, im Beispiel diesmal Port 15961. Somit können wir prüfen ob die
Einstellungen greifen.) | OK | OK

Anschließend über die Kommandozeile:
1) certutil -setreg ca\interfaceflags +0×8
2) net stop certsvc & net start certsvc
 

Auf dem TMG ein Protokoll wie folgt anlegen (bzw. mit anderem gewählten Port)….

… und anschließend der RPC-Regel hinzufügen.

Danach klappt es auch mit dem Zertifikat ;)

Quellen:
Technet Wiki
Technet Blog
isaserver.org

Read More