Chrome und Safari limitieren SSL Zertifikate auf ein Jahr Gültigkeit

Apple hat vor kurzem angekündigt, dass der Safari-Browser künftig nur noch Zertifikate mit einer Gültigkeit von 398 Tagen akzeptieren wird, sofern diese ab 1. September 2020 ausgestellt wurden.

Mozilla und Google wollen in ihren Browsern ein vergleichbares Verhalten implementieren. Es stellt sich also die Frage, ob diese Änderung Auswirkungen auf interne Zertifizierungsstellen haben wird – ob künftig also auch interne SSL-Zertifikate diese Regeln befolgen müssen, wie es beispielsweise bei der Erzwingung des RFC 2818 durch Google der Fall war.

„Chrome und Safari limitieren SSL Zertifikate auf ein Jahr Gültigkeit“ weiterlesen

Literatur und weitere Ressourcen über Public Key Infrastrukturen und Active Directory Certificate Services

Nachfolgend eine Übersicht über am Markt erhältliche Literatur zum Thema Public Key Infrastrukturen und Active Directory Certificate Services sowie Online-Ressourcen von Microsoft und anderen PKI Spezialisten.

„Literatur und weitere Ressourcen über Public Key Infrastrukturen und Active Directory Certificate Services“ weiterlesen

Performanceprobleme bei Auditierung von "Start and stop Active Directory Certificate Services"

Bei der Konfiguration der Auditierungseinstellungen einer Zertifizierungsstelle ist man geneigt, die Option "Start and Stop Active Directory Certificate Services" auszuwählen. Diese Option kann unter Umständen jedoch zu Problemen führen.

„Performanceprobleme bei Auditierung von "Start and stop Active Directory Certificate Services"“ weiterlesen

Mehr als ein gemeinsamer Name (Common Name, CN) im Zertifikat

Heutzutage eher eine Kuriosität als wirklich praxisrelevant, aber es kommt hin und wieder vor, dass man Zertifikatanforderungen erhält, welche mehr als einen gemeinsamen Namen (Common Name) im Betreff (Subject) beinhalten. Auch wenn es erstaunlich wirken mag, dies ist durchaus möglich und auch RFC-konform.

„Mehr als ein gemeinsamer Name (Common Name, CN) im Zertifikat“ weiterlesen

Das SMTP Exit Modul funktioniert nicht auf Windows Server Core

Folgendes Szenario angenommen:

  • Es wird eine Zertifizierungsstelle auf Windows Server Core installiert.
  • Es wird das mit der Zertifizierungsstelle mitgelieferte SMTP Exit Modul konfiguriert.
  • Die Zertifizierungsstelle versendet jedoch keine E-Mails.
  • Im Ereignisprotokoll wird das Ereignis Nr. 46 mit folgender Fehlermeldung protokolliert:
The "Windows default" Exit Module "Initialize" method returned an error. Class not registered The returned status code is 0x80040154 (-2147221164). The Certification Authority was unable to initialize email messaging objects.
„Das SMTP Exit Modul funktioniert nicht auf Windows Server Core“ weiterlesen

Die Beantragung eines bestimmten Signaturschlüssels auf einer Zertifizierungsstelle erlauben

Die Microsoft-Zertifizierungsstelle signiert Zertifikate immer mit dem zum aktuellsten Zertifizierungsstellen-Zertifikat gehörenden Schlüssel. Das Signaturzertifikat für eine OCSP-Antwort sollte gemäß RFC 6960 jedoch vom gleichen Schlüssel signiert werden, wie das zu überprüfende Zertifikat:

The CA SHOULD use the same issuing key to issue a delegation certificate as that used to sign the certificate being checked for revocation.

https://tools.ietf.org/html/rfc6960#section-4.2.2.2

Wird das Zertifizierungsstellen-Zertifikat erneuert und dabei ein neues Schlüsselpaar verwendet, ist es jedoch erforderlich, dass der Onlineresponder weiterhin gültige Signaturzertifikate für die mit dem vorigen Zertifizierungsstellen-Zertifikat ausgestellten Zertifikate vorhält, da diese schließlich weiterhin gültig sind und auf Sperrung überprüft werden müssen.

„Die Beantragung eines bestimmten Signaturschlüssels auf einer Zertifizierungsstelle erlauben“ weiterlesen

Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "The system cannot find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)"

Folgendes Szenario angenommen:

  • Es wird eine Zertifikatanforderung an eine Zertifizierungsstelle gesendet.
  • Die Beantragung des Zertifikats schlägt mit folgender Fehlermeldung fehl:
Error Parsing Request The system cannot find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)
„Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "The system cannot find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)"“ weiterlesen
de_DEDeutsch