Beim Betrieb einer Zertifizierungsstelle kann es vorkommen, dass alle ausgestellten Zertifikate für eine bestimmte Zertifikatvorlage erneuert werden müssen, beispielsweise aufgrund größerer Konfigurationsänderungen oder Wechsel der ausstellenden Zertifizierungsstelle. Nachfolgend wird ein Mechanismus beschrieben, mit dem dies automatisiert erreicht werden kann.
Umsetzung
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Sofern die Zertifikatvorlage für die automatische Beantragung konfiguriert wurde (Autoenrollment), kann dieser Prozess für eine automatische Erneuerung verwendet werden.
Die Zertifikatvorlagen besitzen ein "Version" Attribut, welches für diese Funktion verwendet werden kann.
- Die "Minor Version Number", also die Zahl hinter dem Punkt, wird bei jeder VBeränderung der Zertifikatvorlage erhöht.
- Die "Major Version Number", also die Zahl vor dem Punkt kann durch den Administrator der Zertifikate manuell erhöht werden. Wird die Nummer erhöht, wird die "Minor Version Number" wieder auf 0 zurückgesetzt.
In einem ausgestellten Zertifikat finden sich die Versionsnummern in der Erweiterung "Certificate Template Information" mitsamt dem Object Identifier (OID) für die Zertifikatvorlage wieder.
Anhand dieser Informationen kann der Autoenrollment Prozess nun den Ist-Stand im Zertifikatspeicher mit dem Soll-Stand im Active Directory vergleichen. Sollte das lokale Zertifikat eine niedrigere Major Version Number aufweisen als in der Zertifikatvorlage, wird automatisch ein Zertifikatantrag gestellt.
Die Erhöhung der Major Version Number kann der Administrator einer Zertifikatvorlage per Rechtsklick und Auswahl von "Reenroll All Certificate Holders" auslösen.
Die Major Version Number sollte nun erhöht und die Minor Version Number auf 0 zurückgesetzt worden sein.
Nachdem der Autoenrollment Prozess ausgelöst wurde, sollte ein neues Zertifikat beantragt worden sein. Das vorige Zertifikat wird archiviert, sodass es nicht mehr verwendet werden kann.
Eine Sperrung der vorigen Zertifikate wird jedoch nicht automatisch durch die Zertifizierungsstelle durchgeführt.
Ein Gedanke zu „Alle für eine Zertifikatvorlage ausgestellten Zertifikate automatisch von den Zertifikatinhabern erneuern lassen“
Kommentare sind geschlossen.