Firewallregeln für Registrierungsdienste und OCSP

Welche Firewall-Ports werden für die Kommunikation in einer Domäne benötigt bzw. müssen freigeschaltet werden?

Die Zertifizierungsstellen-Webregistrierung (CAWE Certificate Authority Web Enrollment) benötigt für den funktionellen Umfang folgende Ports:

Clients in Richtung CAWE

TCP Port 80 HTTP
TCP Port 443 HTTP/S bevorzugt

CAWE in Richtung Zertifizierungsstelle

TCP Port 135 RPC Endpoint Mapper
TCP Port 49152-65535 RPC dynamische Ports

Zertifizierungsstelle in Richtung CAWE

TCP Port 135 RPC Endpoint Mapper
TCP Port 49152-65535 RPC dynamische Ports

CAWE in Richtung Domäne

TCP und UDP Port 53 DNS
TCP Port 88 Kerberos
UDP Port 123 NTP
TCP Port 135 RPC Endpoint Mapper
TCP Port 389 LDAP
TCP Port 445 SMB
TCP Port 636 LDAP/s
TCP Port 3268 LDAP GC
TCP Port 3269 LDAP/s GC
TCP Port 49152-65535 RPC dynamische Ports

Der Online Responder (OCSP Online Certificate Status Protocol) benötigt für den funktionellen Umfang folgende Ports:

Clients in Richtung OCSP

TCP Port 80 HTTP

OCSP Responder zur Zertifizierungsstelle

TCP Port 135 RPC Endpoint Mapper
TCP Port 49152-65535 RPC dynamische Ports

OCSP Responder zur Domäne

Der Registrierungsdienst (NDES Network Device Enrollment Service) benötigt für den funktionellen Umfang folgende Ports:

Clients in Richtung NDES

TCP Port 80 HTTP
TCP Port 443 HTTP/S

NDES in Richtung Zertifizierungsstelle

TCP Port 135 RPC Endpoint Mapper
TCP Port 49152-65535 RPC dynamische Ports

NDES in Richtung Domäne

https://www.der-windows-papst.de/2016/01/13/server-2012-einstufige-pki-bereitstellen/