Jump to content

Zertifikatsanforderung geht nicht


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo allerseits,

 

nun ich habe mich mit dem ADSIEdit etwas vertraut gemacht und konnte via Pfadbeschreibung

laut Microsoft (link "Wird keine Zertifikat-Vorlage Gefunden Fehlermeldung, wenn ein Benutzer Zertifikat von Webregistrierungsseiten der Zertifizierung-Stelle anfordert") den DNSHostNamen finden.

 

Bin folgendermaßen vorgegangen:

1 ADSIEdit auf dem DC ausgeführt

2 Nach verbinden mit der ADS Struktur bin ich auf Configuration

3 klicken auf die CN=Configuration, DC=domainname,DC=xyz

4 klicken auf CN=Services

5 klicken auf CN=Puplic Key Services

6 klicken auf CN=Enrollment Services

7 am rechten Fensterinhalt, bekommt man ein Objekt zu sehen (CN=zertifikatserver Name)

 

Wenn ich nun doppelklicke und auf Attribute gehe, so sehe ich als DNSHostname:

Servername.domainname.xyz

Und laut Microsoft soll dieser Hosteintrag Identisch mit dem Eintrag in der Datei unter

C:\WINDOWS\system32\certsrv\certdat.inc im Punkt sServerConfig=”Servername.domainname.xyz\Zertifikatsname” sein.

sServerConfig= Servername.domainname.xyz passt auch mit dem eintrag im Objekt unter ADSIEdit.

 

Dennoch klappt es leider nicht wenn ich http://servername.daomainname.xyz/certsrv eingebe

und auf Ein Zertifikat anfordern klicke, er mir dan beim nächsten schritt Eine Anforderung an dieser Zertifizierungsstelle erstellen und einrichten klicke mit eine Fehlermeldung kommt die heißt:

Es wurden keine Zertifikatsvorlgen gefunden. Sie ferfügen nicht über Ausreichende Rechte, um ein Zertifikat von dieser Zertifizierungsstelle anfordern zu können, oder beim Zugriff auf das Acitive Directory ist ein Fehler aufgetreten.

Sobald ich auf OK klicke ist die seite Grau schraffiert.

 

Was kann das sein, melde mich als DomainAdmin an den Clients an, Vorlagen sind bereits Standartmäßig enthalten. Oder muss ich am Zertifikatsserver irgendwo noch die Rechte geben.

Auch am Zertifikatsserver geht das aufrufen dieser http Seite nicht.

 

IIS läuft, APS ist auf zulassen eingestellt. Der Server (Zertifikatsserver) ist als Member in der Domäne.

Windows 2003 Std. R2

Zertifizierungsinstallation ist als Unternehmenszertifikatstelle Installiert (Standart Installation)

 

Kann mir jemand weiterhelfen das wehre super!!

 

Ich danke :D:D

 

Gruß

TL

Link zu diesem Kommentar

Hi,

 

ist die CA in derselben Domäne wie der Benutzer, der das Zertifikat anfordert?

Wurden sonst irgendwelche Standard-Berechtigungen innerhalb der AD (etwa auf dem Domain NC) geändert?

 

When trying to enroll for a certificate from a computer or account belonging to a child domain of the domain where the CA is located, the following error appears: "No template could be found. There are no CAs from which you have permission to request a certificate, or an error occurred while accessing the Active Directory."

 

Cause: You don't have the proper security permissions set on the certificate templates.

 

Solution: Modify the security permissions for the certificate templates to include the child domain accounts from which you want to allow enrollment. To set access control for certificate templates, see Controlling enrollment access to certificate templates. Some access control caches must time out after making changes to security permissions, so you have to wait a short period of time before seeing the new security permissions replicate through the network.

 

Viele Grüße

olc

Link zu diesem Kommentar

Hallo und erst mal danke für deine Hilfe.

 

Ja der Zertifikatserver ist mitglied in der gleichen Domain wie alle User/Client die ein Zertifikat anfordern. Ebenso doe die DC´s.

 

Egal an welchen Client oder direkt am Server ich die Seite aufrufe klaptt diese nicht!!.(ob mir User Administrator, DomainUser)

 

Laut der Meldung (siehe ersten Post) heißt es das keine Vorlgen existieren.

- Nach Kontrolle und anschauen sind ja bei der Standart Installation Zertifikate enthalten.

 

Das evtl. ich die Rechte nicht hätte mir die Anforderung oder die Funktion zu erstellen, kann doch nicht sein, da ich mich als Administrator die http://servername.daomain.xyz/certsrv öffne.

 

und zu guter letzt könnte es sein das die Kommunikation zur AD nicht gehen würde???

Was soll das heißen??

 

Wie gesagt ist ganz normal als Std. Installation durchgenommen. Auch die Struktur der Domain ist 0815.

 

 

Ich habe echt keine Ahnung was hier los ist. Habe es mitlerweile an weitern Virtuellen Umgebungne gemacht ergebnis GLEICHE SITUATION:confused::confused::confused:

 

Hoffe doch das ihr mir weiter Helfen könnt.

 

 

ICH DANKE!!

Link zu diesem Kommentar

Hi,

 

also es wurde weder an den Rechten auf dem Domain NC noch an den Rechten des Configuration NC gedreht?

 

Was sind das für Zertifikate, die Du ausstellen möchtest? Standardmäßig kann eine Windows Server 2003 Std. Version nur V1 Templates ausstellen und auch keine zusätzlichen Templates verwalten.

 

Was sind für Container im Configuration NC --> Services --> Puplic Key Services --> Templates enthalten?

 

Ich habe im Moment keine Standard Installation zum testen parat, sonst würde ich es einmal testweise nachstellen. Aber ich würde vermuten, daß es etwas mit den möglichen Templates einer Std. Version zu tun hat.

 

Viele Grüße

olc

Link zu diesem Kommentar
Hi,

 

also es wurde weder an den Rechten auf dem Domain NC noch an den Rechten des Configuration NC gedreht?

 

Was sind das für Zertifikate, die Du ausstellen möchtest? Standardmäßig kann eine Windows Server 2003 Std. Version nur V1 Templates ausstellen und auch keine zusätzlichen Templates verwalten.

 

Was sind für Container im Configuration NC --> Services --> Puplic Key Services --> Templates enthalten?

 

Ich habe im Moment keine Standard Installation zum testen parat, sonst würde ich es einmal testweise nachstellen. Aber ich würde vermuten, daß es etwas mit den möglichen Templates einer Std. Version zu tun hat.

 

Viele Grüße

olc

 

 

 

Hallo,

 

nun an der ADS ist definitiv nichts Exostisches eingerichtet.

Lediglich zwei DC´s und ein Member Server, der als Zertifikatsserver dient.

Testweise sind 5 Clients in der Domain enthalten die mit DomainUser Rechten angemeldeten Usern aktiv sind.

 

Egal ob ich am Zertifikatserver direkt ein Zertifikat anfordern möchte via DomainAdmin, oder als normaler User über einen Client der ebenfalls in der Domain Mitglied ist, klappt diese nicht.

 

Wenn ich meine Zertifizierungstelle öffne via MMC, sehe ich meinen Zertifikatserver.

In dem sind folgende Objekte:

- gesperrte zertifikate

- ausgestellte zertifikate

- ausstehende anforderungen

- fehlgeschlagene anforderungen

- Zertifikatvorlagen

 

unter Zertifikatvorlagen sind Zertifikatvorlgen 12 Stk.

Diese waren enthalten als ich die Installation fertiggestellt habe.

Also müssen das doch Vorlagen sein, die ich doch sehen muss ???

 

Ich habe überrall wo sicherheit steht jeder mit VOLLZUGRIFF eingerichtet.

ERGEBNIS kein Erfolg (auch nach neustarten des Zertifikatservers)

 

So langsam gehen mir alle Möglichkeiten aus was ich noch machen kann.

 

Über ADSIEdit sind mi CN=Certificate Templates sind 32 Objekte enthalten!.

 

Was kann das sein :mad::mad::mad:

Link zu diesem Kommentar

Hi,

 

Du mußt schon konkret auf die Fragen antworten, wenn wir Dir hier helfen sollen. ;)

 

Also schau doch noch einmal, daß Du schrittweise alle Fragen der letzten Beiträge genau beantwortest - nicht nur mit allgemeinen bzw. allgemein gehaltenen Antworten, sondern konkreten Angaben zu Deiner Umgebung. :)

 

BTW: Was passiert eigentlich, wenn Du eine Zertifikatanfrage via "certmgr.msc" durchführst? Gleicher Fehler?

 

Viele Grüße

olc

Link zu diesem Kommentar

Abschnitt Teil 1

 

ok,

fange von vorne nochmals an.

habe auf einer Testumgebung eine Windows ADS mit zwei DC´s und einem Member. Alle Server haben Windows Server 2003 R2.

Auf den zwei DC´s ist nichts besonderes am laufen.(Nur DNS und WINS, keine GPO´s).

Der Memeberserver ist Mitglied der Windows ADS.

An allen Servern wird sich als Administrator angemeldet.

Installation Zertifikatserver:

Nun habe ich am Memberserver den IIS (Std. Installation) durchgenommen und ASP auf Zulassen eingestellt. Anschließend habe ich über Software -> Windowskomponente den Zertifikatserver Installiert als Enterprise (Unternehmenszertifikatstelle).

Nach einem Neustart des Memebers, habe ich den IExporer gestartet und den Pfad zum Zertifikatserver eingegeben:

http://ca servername.domain.xyz/certsrv.

Danach auf den Link Ein Zertifikat anfordern. Anschließend kommt die Seite Erweiterte Zertifikatanforderung. Von dort aus klicke ich den Link Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen.

Nach diesem klick kommt ja die Aktuelle Fehlermeldung die bereits bekannt ist.

"Es wurden keine Zertifikatsvorlagen gefunden. Sie verfügen nicht über Ausreichende Rechte, um ein Zertifikat von dieser Zertifizierungsstelle anfordern zu können, oder beim Zugriff auf das Acitive Directory ist ein Fehler aufgetreten."

Sobald ich auf OK klicke ist die Seite Grau schraffiert.

Wenn ich den Zertifikatsserver öffne, so habe ich auf der linken Fensterseite meinen Zertifikatserver mit folgenden Unterpunkten:

- gesperrte Zertifikate

- ausgestellte Zertifikate

- ausstehende Anforderungen

- fehlgeschlagene Anforderungen

- Zertifikatvorlagen

Wenn ich nun auf Zertifikatvorlagen klicke, so sehe ich Vorlagen an der Zahl 23 Stück.

Wenn ich bei Zertifikatvorlagen rechts klick mache und auf Verwalten gehe, so öffnet sich eine mmc (certtmpl) in der mehrere Vorlagen enthalten sind.

Manche Vorlagen sind in der Farbe Grau (wie wenn sie Deaktiviert sind), und mache Vorlagen sind nicht Grau (Diese sind dann Aktiv).

Nun kann ich auf irgendeine Vorlage gehen und mit rechtsklick Doppelte Vorlage erstellen.

Von dort aus kann man mehrere Sachen einstellen, die ich nicht im Detail beschreiben möchte da es sonst zu lang wird. Aber Punkte wie Zertifikat in ActiveDirectory veröffentlichen setze ich einen Hacken. Auch bei Sicherheit habe ich JEDER auf VOLLZUGRIFF gesetzt.

Nach dem erstellen bestätige ich die Vorlage.

Nun ist die Vorlage erstellt, wenn ich die Seite zum Zertifikatserver eingebe, so stehe ich wieder am gleichen Problem.

Wie bereits erwähnt deutet die Meldung auf eine nicht Vorhandene Zertifikatsvorlage. Oder nicht genügend Rechte, sowie eine Fehlkommunikation zur Active Directory.

Das eine Vorlage nicht existieren kann, glaube ich nicht, da ich eine erstellt habe.

Rechte Problem sollte auch nicht der Fall sein, da ich überall wo ich auf einer Vorlage oder auf dem Zertifikatsserver den Punkt "SICHERHEIT" gesehen habe JEDER mit Vollzugriff gesetzt habe.

Auch das Installieren eines anderen Browsers ging nicht. Bei Mozilla kam wenigstens die Meldung nicht, er zeigte halt keine Vorlage.

So viel zum geschehen.

Ich meine und bin Überzeugt das irgendwo beim Erstellen einer Vorlage der Hund begraben ist. Es kann nur an den Zertifikatsvorlagen liegen.

Warum die Konstellation:

Grund zu dieser Konstellation ist, da nur diese Zertifikatsvariante mit in die ActiveDirectory mit einbezogen werden kann. Ein Eigenständiger Zertifikatserver macht das ja nicht. Wir möchten an die Domain User Zertifikate übergeben und VPN Zugriffe von Extern mit Zertifikaten betreiben.

@ OLC -> Was passiert eigentlich, wenn Du eine Zertifikatanfrage via "certmgr.msc" durchführst? Gleicher Fehler?

Es kommt keine Fehlermeldung. Das MMC für Zertifikate - Aktueller Benutzer erscheint, und in dem sind Zertifikate enthalten von unterschiedlichen Bereichen wie Eigene Zertifikate, Active-Directory, Vertrauenswürdige Personen, etc.

 

nächster Abschnitt im nächsten Theard.

Link zu diesem Kommentar

letzte Abscnitt:

 

@ OLC:

Was sind für Container im Configuration NC --> Services --> Puplic Key Services --> Templates enthalten?

-> Über ADSIEdit sind mi CN=Certificate Templates sind 32 Objekte enthalten!.

Mache ich was falsch beim erstellen eines Zertifikates oder muss man am Zertifikatserver noch ein Hacken setzen, oder, oder, oder.

Ich habe mittlerweile alles was verdächtig ist ausprobiert, leider kein Erfolg.

Auch habe ich zwei komplett neue Virtuelle Umgebungen mit einem DC und einem Member erstellt. Ergebnis gleiche Situation, gleiche Fehlermeldung.

Was kann das nur sein...

@ OLC Ich hoffe dir nochmaligen Anstoß zur Lösung geben können, ansonsten weis ich selber nicht mehr weiter.

PS: Ich habe die Sicherheit im Internet Explorer auf sehr niedrig gestellt -> auch kein Erfolg.

gruß und Danke für die Hilfe.

TL

PS: Egal ob ich mit Administrator die Seite aufrufe, oder ich an einem XP Client bin funktioniert es nicht. Auch wenn ich die Seite über den Zertifikatserver öffne geht das nicht.

Link zu diesem Kommentar

Hi,

 

die letzte Frage von mir noch einmal präzisiert: Wenn Du in dem certmgr.msc über "Eigene Zertifikate" --> ausklappen und Rechtsklick auf "Zertifikate" --> "Alle Aufgaben" (oder so ähnlich auf deutsch) "--> Zertifikat beantragen" gehst, kannst Du dann ein Zertifikat mit dem gewünschten Template beantragen oder bekommst Du den selben bzw. einen anderen Fehler?

 

Ich habe es gerade einmal in einer Testumgebung nachgestellt - ohne Probleme.

 

Der Client hat ansonsten keine Fehler in Bezug auf die Domänenfunktionalität? Irgendwelche Meldungen in den Eventlogs? DNS-Probleme auf dem Client oder der CA?

 

Viele Grüße

olc

Link zu diesem Kommentar

Hallo OLC!,

 

 

ich danke für deine Mühe und dem willen zu Helfen!:):)

 

Ich habe den Fehler gefunden. Dieser lag am IIS unter Verzeichnissicherheit auf der CertSrv AppPool.

 

Dort war der Hacken bei Anonym Anmelden gesetzt. WIE das kommt keine Ahnung...:confused::confused:

 

Nach dem ich die Anonyme Anmeldung rausgenommen habe und Inegrierte Anmeldung Aktiviert habe, ging diese dann auch Wunderbar.

 

 

Also nochmals Danke Danke für die Mühe zu Helfen.

 

 

Gruß

TL

 

PS: Schöne Weihnachten und einen Guten Rutsch.

:):):)

Link zu diesem Kommentar

Hi TL,

 

vielen Dank für Deine Rückmeldung - schön zu hören, daß es nun klappt.

 

Ich wußte zwar nicht, in welche Richtung das Problem noch gehen würde, aber um den IIS bzw. die dazugehörigen Komponenten auszuschließen, sollte die Zertifikatanforderung mit dem certmgr.msc probiert werden. Läuft dieser, hat man das Problem recht schnell eingekreist. Läuft dieser ebenso nicht, muß man weiträumiger schauen.

 

Aber das ist nun ja nicht mehr notwendig. :)

 

Viele Grüße

olc

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...