Missing Enrollment Service ADSI

Missing Enrollment Service ADSI

Zertifikate

Template information could no be loaded

Gerade nach einer eifrigen CA-Migration kann es passiert sein, das 1 Eintrag in der Konfigurationspartition des Active Directorys zu viel gelöscht worden ist. Das bleibt natürlich nicht ohne Auswirkung. Ohne diesen Service Connection Point (pKIEnrollmentService object) geht so gut wie nichts mehr.

Missing CN=Enrollment Services

Missing Enrollment Service ADSI

Die Folgen, sobald der Eintrag gelöscht worden ist, bleiben nicht unbemerkt. Vorlagen können nicht mehr geladen werden.

Issuing CA is not showing Templates

Auch die im Active Directory abgelgten Sperrlisten sind z.B. nicht mehr verfügbar.

Missing Enrollment Service ADSI

Status Failed CRL List

Um das Problem schnell zu beheben, ohne die Zertifizierungsstelle neu aufzusetzen, ist die Beantragung eines neuen Zertifikats.

Renew CA Certificate

Mit der Erneuerung des Zertifikats, wird der fehlenden Eintrag (pKIEnrollmentService object) im Active Directory neu geschrieben.

Das neue Zertifikat sollte auf Basis des bestehenden Private-Keys erfolgen.

Renew CA Certificate

Nachdem das neue Zertifikat installiert worden ist, kann es aber noch etwas zu tun geben.

Import new CA ACertificate

Der fehlende Service Connection Point wurde erstellt.

Create Enrollment Service Object

Troubleshooting

Sollten sich die Vorlagen nicht veröffentlichen lassen, weil diese nicht angezeigt werden, dann ändern wir den Wert eines Attributes im Service Connection Point wie folgt.

Templates could no be found

Das Attribut flags bekommt den Wert = 10. Anschließend starten wir den Zertifizierungsstellendienst einmal durch.

CN=Enrollment Services Flags Value 10

Die Vorlagen sind wieder sichtbar (Berechtigungsthematik) und können veröffentlicht werden.

Templates could no be found

Active Directory Public Key Service

Der Container AIA enthält das oder die Zertifikat(e) einer untergeordneten Zertifizierungsstelle (Sub-CA oder Issuing-CA). Mit dem Befehl certutil -dspublish -f Zertifikat.cer installiert man ein CA Zertifikat in diesen Container.

Der Container CDP enthält Zertifikatssperrlisten. In diesem Ordner wird nach der Installation einer Zertifizierungsstelle automatisch die Sperrliste abgelegt. Der Befehl dazu lautet certutil -dspublish -f Sperrliste.crl

Der Container Certification Authority enthält Root Zertifikate (Stammzertifikate). Der Installationsbefehl lautet certutil -dspublish -f RootCA.cer RootCA.

Active Directory Public Key Service