Betreiben der Zertifizierungsstelle ohne Exit Modul

Wird eine Zertifizierungsstelle installiert, ist automatisch das "Windows Default" Exit Modul aktiviert. Dieses ermöglicht den Versand von E-Mail Nachrichten bei bestimmten Ereignissen der Zertifizierungsstelle. Die meisten Unternehmen verwenden diese Funktion jedoch überhaupt nicht.

Aber auch wenn das Exitmodul überhaupt nicht verwendet wird, verursacht es Sitzungen auf der Zertifizierungsstellen-Datenbank (siehe Ereignis Nr. 46). Auf Zertifizierungsstellen mit hoher Last kann dies problematisch sein.

Wenn die Funktionen, die es bietet, gar nicht verwendet werden (unter Windows Server Core funktioniert das "Windows Default" Exitmodul grundsätzlich nicht), kann es auch komplett deaktiviert werden.

Ein Beispielprojekt zur Erstellung eines eigenen Exit Moduls findet sich im Artikel "Ein Exit Modul für die Zertifizierungsstelle in C# erstellen". Damit ist die Möglichkeit gegeben, ein Exit Modul mit auf die eigenen Bedürfnisse zugeschnittenem Funktionsumfang zu entwickeln.

Vorgehensweise

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Exit Modul deaktivieren (Zertifizierungsstellen-Managementkonsole)

Zum deaktivieren des Exitmoduls muss es lediglich aus der Konfiguration der Zertifizierungsstelle entfernt werden.

Anschließend ist wieder ein Neustart des Zertifizierungsstellen-Dienstes erforderlich um die Änderungen anzuwenden.

In der Registrierung der Zertifizierungsstelle ist die Konfiguration des aktiven Exit Moduls in folgendem Pfad hintelegt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\{Common-Name-der-Zertifizierungsstelle}\ExitModules

Ist kein Exit Modul konfiguriert, ist der "Active" Wert entsprechend leer.

Exit Modul deaktivieren (PowerShell)

Das Ziel kann auch sehr einfach via PowerShell erreicht werden:

$Root = "HKLM:\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration"
$CaName = (Get-ItemProperty -Path $Root -Name Active).Active
Clear-ItemProperty -Path "$Root\$CaName\ExitModules" -Name Active

Exitmodul wieder aktivieren

Im Gegensatz zu Policy Modulen ist es – sofern vorhanden – auch möglich, mehrere Exit Module gleichzeitig zu aktivieren.

Anschließend ist wieder ein Neustart des Zertifizierungsstellen-Dienstes erforderlich um die Änderungen anzuwenden.

In der Registrierung ist der "Active" Wert entsprechend wieder gefüllt.

Weiterführende Links:

Externe Quellen

Ein Gedanke zu „Betreiben der Zertifizierungsstelle ohne Exit Modul“

Kommentare sind geschlossen.

de_DEDeutsch