Event-Flut ID 16944 und 16945 von Quelle Microsoft-Windows-Directory-Services-SAM

Hallo, hier wieder einmal Rol, mit einem weiteren Beitrag vom PKI Experten und Kollegen Marius. Bei diesem Fall hatte der Kunde eine neue Root CA eingeführt und dazu sogar  eine eigene OID (Object IDentifier) bei der IANA (Internet Assigned Numbers Authority, www.iana.org) registriert. (OID und zugehörige Namen haben wir natürlich anonymisiert). Die technische Verwendung der… Read more

Fehler "No certificate templates are available in Active Directory" beim GPO EFS Zertifikat Suchen

Hallo, hier wieder einmal Rol, heute mit einem Ausflug zu PKI, speziell zu EFS, dem Encrypting File System. Hier hatte unser PKI Experte Marius vor kurzem den Fall, daß obwohl beim Kunden einige Enterprise CAs eingerichtet waren, und auf zumindest einer davon mehrere neue EFS Certificate Templates, basierend auf dem Standard Basic EFS Template definiert waren,… Read more

FIM CM Bulk SC Issuance Client hat Fehler "The smart card is either superseeded or in key escrow"

Hallo, zum Monatsbeginn nochmals Rol mit einem kurzen Ausflug zu FIM CM. Unsere PKI Experten erhielten kürzlich die Kunden Anfrage zu dem Problem, daß beim FIM CM Bulk SC Issuance Client beim Austausch einer Smart Card während der Ausstellung der Fehler “The smart card is either superseeded or in key escrow” auftrat. Ungünstiger Weise wurde… Read more

Die AD Datenbank NTDS.DIT waechst immer weiter wenn Credential Roaming aktiviert ist

Hallo hier ist mal wieder Andy, heute zum Thema Credential Roaming. Für die, die nicht wissen was Credential Romaing ist: Credential Roaming ist eine Active Directory und Group Policy Erweiterung zum Speichern von Zertifikaten und alles was mit dem  MyStore Speicher zu tun hat. Wer sich schon mal mit dem Thema Credential Roaming http://technet.microsoft.com/de-de/library/cc773373(WS.10).aspx befasst… Read more

Private Key Export trotz gegenteiliger Template-Einstellung

Hallo zusammen, Fabian hier. Ab und an erreichen uns Fragen zum Export von privaten Schlüsseln, etwa von Benutzerzertifikaten – hier wundern sich die CA-Administratoren bzw. CA-Manager, daß der private Schlüssel eines Zertifikats am Client exportiert werden kann, obwohl dies im Template nicht erlaubt wurde:   Beispiel: UserSignatureNoKeyExportTemplate auf einer CA   Der Export auf einem… Read more

Von welchem Client aus wurde eine Benutzer-Zertifikatanforderung durchgeführt?

Hallo zusammen. Heute fragte mich ein Kunde wie man herausfinden kann, auf welcher Maschine ein Benutzer-Zertifikat beantragt wurde. Da man diese Information nicht im ausgestellten Zertifikat findet, mußte eine andere Möglichkeit her. Nachtrag 31.03.2009: Die Information ist in einigen (aber nicht allen) Zertifikaten selbst gespeichert: “CERT_REQUEST_ORIGINATOR_PROP_ID”, siehe http://msdn.microsoft.com/en-us/library/aa376079(VS.85).aspx. Aber die unten stehende Variante ist einfach cooler…. Read more

Wie heißen die Zertifikatspeicher auf Windows Systemen?

Hallo zusammen, Fabian hier. Ab und an wird uns die Frage gestellt, wie man Zertifikatspeicher (certificate stores) bzw. deren Namen identifizieren und ggf. Zertifikate in diese Zertifikatspeicher importieren kann. Grundsätzlich ist die komfortabelste Variante sicherlich Group Policies zu nutzen. So ist es beispielsweise möglich, Zertifikate in den Zertifikatspeicher „Vertrauenswürdige Stammzertifizierungsstellen“ („Trusted Root Certificate Authorities“) zu… Read more

Was tun, wenn Zertifikate nicht akzeptiert werden?

Mein Name ist Thomas und ich werde mich hier vorrangig melden, wenn es was Interessantes zu PKI Themen zu sagen gibt. Gelegentlich kommt es vor, dass ein Zertifikat mit kryptischen Fehlermeldungen abgewiesen wird. Häufigste Ursache für Zertifikatsprobleme stellt die Sperrliste dar. In dieser Certificate Revocation List (ab jetzt CRL) veröffentlicht jeder Zertifikatsserver die von ihm… Read more

Probleme nach inplace upgrade einer 2003 Standard CA auf 2008 Enterprise CA

Wir haben gerade an einer Anfrage gearbeitet und sind dabei (aller Wahrscheinlichkeit nach) auf einen Bug gestoßen. Da ein Fix in Form eines Update-Paketes vermutlich nicht in absehbarer Zeit erscheinen wird (dazu später mehr) möchten ich dies hier kurz beschreiben. Und um es gleich Vorweg zu nehmen: das Problem als solches und eine mögliche Lösung… Read more

Certificate Enrollment mit IIS und CA auf getrennten Maschinen

Hi, ich möchte in diesem Blogeintrag detailliert beschreiben, wie man eine Zertifizierungsstelle (CA / Certification Authority) unter Verwendung von Kerberos Protocol Transition (Kerberos Protokoll Übergang / Umwandlung) und Constrained Delegation (eingeschränkte Kerberos-Delegierung) für web-basiertes Ausstellen von Zertifikaten einrichten kann, wenn die CA und der IIS auf getrennten Maschinen liegen.   Am Ende gebe ich noch… Read more