Verwenden von nicht definierten Relative Distinguished Names (RDN) in ausgestellten Zertifikaten

Manchmal ist es erforderlich, Relative Distinguished Names (RDNs) in ausgestellten Zertifikaten zu erlauben, die nicht definiert sind und entsprechend auch nicht im SubjectTemplate Wert der Registrierung der Zertifizierungsstelle konfiguriert werden könnten.

Ein Beispiel hierfür ist der Organization Identifier mit Objektidentifizierer 2.5.4.97, der beispielsweise für Zertifikate benötigt wird, die zur eIDAS Verordnung konform sind.

Konfigurationsschritte für Stammzertifizierungsstellen-Zertifikate

Es sind keine speziellen Konfigurationsschritte für Zertifikate von Stammzertifizierungsstellen notwendig. Da deren Attribute bei der Installation der Zertifizierungsstellen-Rolle definiert werden, können diese einfach mit dem -CADistinguishedNameSuffix Parameter mitgegeben werden (bei Installation per graphischer Benutzeroberfläche gibt es analog dazu ein entsprechendes Eingabefeld).

Install-AdcsCertificationAuthority `
-CAType "StandaloneRootCA" `
-KeyLength 4096 `
-HashAlgorithm SHA256 `
-CryptoProviderName "RSA#Microsoft Software Key Storage Provider" `
-CACommonName "ADCS Labor Test Root CA 1" `
-CADistinguishedNameSuffix "O=ADCS Labor,L=Munich,S=Bavaria,C=DE,2.5.4.97=12345678" `
-ValidityPeriod Years `
-ValidityPeriodUnits 16 `
-OverwriteExistingDatabase `
-OverwriteExistingKey `
-Force

Konfigurationsschritte für alle anderen Arten von Zertifikaten

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Betrifft das Verhalten der Zertifizierungsstellen beim Ausstellen von Zertifikaten und somit alle Arten von Zertifizierungsstellen:

  • Stammzertifizierungsstellen
  • Zwischenzertifizierungsstellen
  • Ausstellende Zertifizierungsstellen

Damit Zertifizierungsstellen das Subject nicht anhand der im Registrierungswert "SubjectTemplate" definierten Regeln bei der Ausstellung des Zertifikates neu bilden, kann folgender Kommandozeilenbefehl abgesetzt werden:

certutil -setreg CA\CRLFlags +CRLF_REBUILD_MODIFIED_SUBJECT_ONLY

Der Zertifizierungsstellen-Dienst muss anschließend neu gestartet werden, damit die Änderungen angewendet werden.

Ist diese Einstellung aktiv, überprüft die Zertifizierungsstelle die Syntax und die Konformität zu den einschlägigen RFC nicht mehr. Die Zertifikatanforderung muss auf jeden Fall manuell durch einen Zertifikatmanager überprüft werden. Da die Einstellung global für die Zertifizierungsstelle gilt, sollte für diese Anforderungen eine dedizierte ausstellende Zertifizierungsstelle eingesetzt werden, um Wechselwirkungen zu vermeiden.

Die Einstellungen für die Zeichenkodierung innerhalb von RDNs (ForceTeletex) werden durch setzen dieses Flag ebenfalls außer Kraft gesetzt, d.h. der Subject DN wird auch was die Zeichenkodierung angeht 1:1 aus dem Zertifikatantrag übernommen.

Beantragung von Zertifikaten

Die Einstellung hat nur einen Effekt, wenn die Zertifikatvorlage konfiguriert ist, dass der Antragsteller das Subject in der Zertifikatanforderung angeben kann.

Weiterführende Informationen

Externe Quellen

de_DEDeutsch