Häufig verwendete erweiterte Schlüsselverwendungen (Extended Key Usages) und Ausstellungsrichtlinien (Issuance Policies)

Autor Uwe GradeneggerVeröffentlicht am Kategorien Zertifikat-BenutzungSchlagwörter , , , ,

Nachfolgend eine Auflistung von häufig genutzten erweiterten Schlüsselverwendungen (Extended Key Usage) und Ausstellungsrichtlinien (Issuance Policies), die in der Praxis immer wieder verwendet werden, um Zertifizierungsstellenzertifikate zu beschränken.

Häufg verwendete erweiterte Schlüsselverwendungen (Extended Key Usages):

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Die erweiterten Schlüsselverwendungen werden in manchen Dokumentationen auch Anwendungsrichtlinien (Application Policies) genannt.

OIDBeschreibung
1.3.6.1.4.1.311.20.2.1Certificate Request Agent
1.3.6.1.5.5.7.3.2Client Authentication
1.3.6.1.5.5.7.3.3Code Signing
1.3.6.1.4.1.311.10.3.13Lifetime Signing
1.3.6.1.4.1.311.10.3.12Document Signing
1.3.6.1.4.1.311.80.1Document Encryption
1.3.6.1.4.1.311.10.3.4Encrypting file system
1.3.6.1.4.1.311.10.3.4.1File Recovery
1.3.6.1.5.5.7.3.5IP Security End System
1.3.6.1.5.5.8.2.2IP Security IKE Intermediate
1.3.6.1.5.5.7.3.6IP Security Tunnel Endpoint
1.3.6.1.5.5.7.3.7IP Security User
1.3.6.1.4.1.311.21.6Key Recovery Agent
1.3.6.1.4.1.311.10.3.11Key Recovery
1.3.6.1.5.2.3.5KDC Authentication
1.3.6.1.4.1.311.10.3.1Microsoft Trust List Signing
1.3.6.1.4.1.311.10.3.10Qualified Subordination
1.3.6.1.4.1.311.10.3.9Root List Signer
1.3.6.1.5.5.7.3.4Secure E-mail
1.3.6.1.5.5.7.3.1Server Authentication
1.3.6.1.4.1.311.20.2.2Smartcard Logon
1.3.6.1.5.5.7.3.8Time Stamping gemäß RFC 3161
1.3.6.1.5.5.7.3.9OCSP Signing
1.3.6.1.4.1.311.54.1.2Remote Desktop Authentication
1.3.6.1.4.1.311.21.5Private Key Archival
2.16.840.1.113741.1.2.3Intel Advanced Management Technology (AMT) Provisioning

Häufig verwendete Ausstellungsrichtlinien (Issuance Policies):

OIDBeschreibung
2.5.29.32.0All Issuance Policies (AnyPolicy)
1.3.6.1.4.1.311.21.32TPM Key Attestattion: User Credentials: (Low Assurance)
1.3.6.1.4.1.311.21.31TPM Key Attestattion: Endorsement Certificate: (Medium Assurance)
1.3.6.1.4.1.311.21.30TPM Key Attestattion: Endorsement Key: (High Assurance)

Weiterführende Links:

Externe Quellen

20 Gedanken zu „Häufig verwendete erweiterte Schlüsselverwendungen (Extended Key Usages) und Ausstellungsrichtlinien (Issuance Policies)“

  1. Pingback: Details zum Ereignis mit ID 53 der Quelle Microsoft-Windows-CertificationAuthority – Uwe Gradenegger
  2. Pingback: Konfigurieren einer Zertifikatvorlage für Remotedesktop (RDP) Zertifikate – Uwe Gradenegger
  3. Pingback: Grundlagen: Einschränken der erweiterten Schlüsselverwendung (Extended Key Usage, EKU) in Zertifizierungsstellen-Zertifikaten – Uwe Gradenegger
  4. Pingback: Signieren von Zertifikaten unter Umgehung der Zertifizierungsstelle – Uwe Gradenegger
  5. Pingback: Grundlagen: Konfigurationsdatei für die Zertifizierungsstelle (capolicy.inf) – Uwe Gradenegger
  6. Pingback: Behandlung abgelaufener Zertifikate in Zertifikatsperrlisten – Uwe Gradenegger
  7. Pingback: Die "Application Policies" Zertifikaterweiterung – Uwe Gradenegger
  8. Pingback: Details zum Ereignis mit ID 131 der Quelle Microsoft-Windows-CertificationAuthority – Uwe Gradenegger
  9. Pingback: Codesignatur für PowerShell Scriptdateien – Uwe Gradenegger
  10. Pingback: Details zum Ereignis mit ID 32 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center – Uwe Gradenegger
  11. Pingback: Details zum Ereignis mit ID 21 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center – Uwe Gradenegger
  12. Pingback: Details zum Ereignis mit ID 19 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center – Uwe Gradenegger
  13. Pingback: Die erweiterte Schlüsselverwendung (Extended Key Usage, EKU) für importierte Stammzertifizierungstellen-Zertifikate einschränken – Uwe Gradenegger
  14. Pingback: Übersicht über die verschiedenen Generationen von Domänencontroller-Zertifikaten – Uwe Gradenegger
  15. Pingback: Ursachenforschung: Snipping Tool und weitere Komponenten in Windows 11 wegen abgelaufenem Zertifikat nicht mehr benutzbar – Uwe Gradenegger
  16. Pingback: Grundlagen Public Key Infrastrukturen (PKI) – Uwe Gradenegger
  17. Pingback: Die Partition des Hardware Security Moduls (HSM) läuft voll – Uwe Gradenegger
  18. Pingback: Anmeldefehler mit Windows Hello for Business: "Wenden Sie sich an den Systemadministrator, und teilen Sie ihm mit, dass das KDC-Zertifikat nicht überprüft werden konnte." – Uwe Gradenegger
  19. Pingback: Details zum Ereignis mit ID 29 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center – Uwe Gradenegger
  20. Pingback: Die Anmeldung via Smartcard schlägt fehl mit Fehlermeldung "Signing in with a security device isn’t supported for your account." – Uwe Gradenegger

Kommentare sind geschlossen.

de_DEDeutsch
en_USEnglish de_DEDeutsch