Überwachung CEP und CES

Die Rollendienste Certificate Enrollment Policy Server und Certificate Enrollment Service bieten eine flexible Lösung, um beispielsweise Autoenrollment abzusichern und die Kommunikation der normalerweise genutzten Remote Procedure Calls über https tunneln. CEP und CES können zudem genutzt werden, um Zertifikatserneue-rungen auch in Zonen zu ermöglichen, die als weniger sicher gelten.

Für die Überwachung von CEP und CES bietet das Command-Line-Tool certutil von Windows 10 bzw. Windows Server 2016 spezielle Befehle. Da es für diese Art der Überwachung bisher wenige Beschreibungen gibt und die notwendigen Para-meter aus meiner Sicht nicht einfach zu finden sind, dokumentiere ich im Folgen-den die möglichen Befehle für eine Überwachung bei Verwendung von Kerberos als Authentifizierungsmethode

Für die Überwachung können jeweils 2 unterschiedliche Befehle verwendet werden.

Befehle für CEP

Variante 1:

Bei Variante 1 werden die Werte, aus denen sich der URL-String zusammensetzt über die Parameter definiert.

certutil -ping -kerberos -config <DNS-Name-CEPServer> CEP

Beispiel:

certutil -ping -kerberos -config cep.mydomain.local CEP

Variante 2:

Bei Variante 2 wird der URL String des Web-Services direkt eingegeben.

certutil –ping –kerberos –config <CEP-URL> CEP

Beispiel:

certutil -ping -kerberos -config https://cep.mydomain.local/ADPolicyProvider_CEP_Kerberos/service.svc/CEP CEP

Ergebnis:

Beide Befehle geben die URL des CEP Webservice, den Namen des CEP Webservice und die zugehörige GUID zurück.

Befehl für CES

Auch für die Überwachung von CES existieren 2 unterschiedle Befehle:

Variante 1:

Variante 1 generiert wieder die URL für die Überwachung über die übergebenen Parameter.

certutil -ping -kerberos -config <DNS-Name-CAServer>\<CA-Name> CES

Beispiel:

certutil -ping -kerberos -config cep.mydomain.local/myCA1 CES

Variante 2:

Bei Variante 2 wird ebenfalls die vollständige URL eingegeben.

certutil -ping -kerberos -config <CES-URL> CES

Beispiel:

certutil -ping -kerberos -config https://cep.mydomain.local/myCA1_CES_Kerberos/service.svc/CES

Ergebnis:

Der Befehl gibt die URL des CES-Webservice und das CA-Exchange Zertifikate, das u.a. zur Verschlüsselung der Kommunikation verwendet wird, zurück.