Manch einem wird aufgefallen sein, dass der Zertifikatspeicher für Zwischenzertifizierungsstellen üblicherweise auch Zertifikate für Stammzertifizierungsstellen beinhaltet.
In der Regel ist dieses Verhalten unkritisch. In bestimmten Fällen kann dies allerdings auch Probleme mit Anwendungen hervorrufen.
Ursache
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Betrachtet man die physischen Zertifikatspeicher, was Auskunft über die Herkunft der Zertifikate ermöglicht, wird schnell klar, dass die Zertifikate durch das Active Directory auf die Clients repliziert werden.
Grund hierüfr ist der Autoenrollment-Prozess, der ein Replikat des "Public Key Services" Objektes aus dem Active Directory lokal abspeichert. Hierbei wird der "AIA" Ordner lokal in den Zertifikatspeicher für Zwischenzertifizierungsstellen übertragen.
Ansehen kann man sich den "AIA " Ordner bequem über die Unternehmens-PKI (engl. Enterprise PKI, pkiview.msc) Managementkonsole.
Die Stammstellenzertifikate wurden in den "AIA"-Ordner unterhalb "Public Key Services" importiert. Dies ist eine Nebenwirkung, die üblicherweise während der Installation der Zertifizierungsstelle auftritt.
Üblicherweise wird das Stammstellenzertifikat nach deren Installation ins Active Directory hochgeladen. Üblicherweise wird folgender Befehl dafür verwendet.
certutil -f -dspublish {Dateiname.crt}
Wie man sieht, wird das Zertifikat aber nicht nur nach "Certification Authorities", sondern auch nach "AIA" kopiert.
Entfernen der Stammstellen-Zertifikate aus dem Zertifikatspeicher für Zwischenzertifizierungsstellen auf Domänenmitgliedern
Die Löschung kann über die Unternehmens-PKI (engl. Enterprise PKI, pkiview.msc) Managementkonsole vorgenommen werden. Hierfür sind Schreibrechte auf dem entsprechenden Active Directory Objekt erforderlich, die in der Standardeinstellung die Gruppe "Enterprise Administrators" der Gesamtstruktur besitzt.
Nebenwirkungen
Sofern die Stammzertifizierungsstelle für den Zugriff auf Stelleninformationen (engl. Authority Information Access, AIA) auch einen LDAP-Pfad verwendet, sollte überlegt werden, diesen für künftig ausgestellte Zertifikate zu deaktivieren.
Diese Änderung hat keine Auswirkungen auf bereits ausgestellte Zertifikate. Sie wird nur für ab diesem Zeitpunkt ausgestellte Zertifikate effektiv. Da die Bildung der Zertifikatkette jedoch nicht den AIA für Stammstellenzertifikat verwendet, sollte dieser ohnehin nicht in Gebrauch sein.
Deutsch 
English