TMG: Anforderung eines Zertifikates schlägt fehl

Ich bin gerade über ein kleines Problem gestolpert, dass zwischenzeitlich gelöst ist, mich aber trotzdem einige Zeit gekostet hat. Ich habe versucht über die MMC ein Computerzertifikat an der internen Zertifizierungsstelle zu beantragen, was aber nicht funktionierte. Die Anforderung wurde mit folgender Fehlermeldung abgeschmettert:

Der Hinweis bezüglich auf den RPC-Server hat mich letztendlich auf die richtige Spur geführt. Das Zertifikat wird über RPC-Protokolls übertragen. Der Server hört diesbezüglich auf Port 135 und sendet dem Client ein Highport (1024+) zurück, auf dem die Zertifikatsanforderung übertragen werden soll. Da man nicht erraten kann welcher zufälligen Highport zurückgemeldet wird, muss man wohl oder übel ein *temporäre* Regel erstellen, die diese Kommunikation erlaubt. Am einfachsten geschieht dies über eine neue Firewallrichtlinie in dem der „Gesamter ausgehender Datenverkehr“ vom lokalen Host nach intern (ev. auch Computersatz für die Zertifikatsstelle) für alle Benutzer erlaubt.

Regel Zertifikatsanforderung

Da der TMG einen RPC-Filter einsetzt, muss für die eben erstellte Regel der Filter ausgeschalten werden. Hierfür muss über das Kontextmenü (rechten Maustaste) der Menüpunkt RPC-Protokollrichtlinie konfigurieren ausgeschalten werden.

RPC-Protokoll für Temp-Regel ausschalten

Darüber hinaus ist – auch wiederum nur *TEMPORÄR* – die Systemrichtlinien anzupassen. Im Systemrichtlinien-Editor ist die Strikte RPC-Einhaltung erzwingen auszuschalten.

Systemrichtlinien-Editor - Active Directory

Nach der Synchronisation sollte einer erfolgreichen Zertifikatserstellung nichts mehr im Weg stehen.

Nicht Vergessen! Nach der Erstellung die zuvor gemachten Einstellungen zurücksetzen, da diese ein Risiko darstellen.

Weiterführende Links/Quellen:

Kommentar verfassen