Installiert man eine ausstellende Zertifizierungsstelle (Issuing CA) und beantragt nicht explizit eine Ausstellungsrichtlinie (Issuance Policy) beinhaltet das resultierende Zertifizierungsstellen-Zertifikat keine Ausstellungsrichtlinien.
Möchte man die Wildcard Ausstellungsrichtline (All Issuance Policies) in das Zertifizierungsstellen-Zertifikat aufnehmen, muss wie folgt vorgegangen werden:
Umsetzung
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Für die Aufnahme von Ausstellungsrichtlinien in ein Zertifizierungsstellen-Zertifikat ist es erforderlich, dass ein neuer Zertifikatantrag gestellt und ein neues Zertifizierungstellen-Zertifikat ausgestellt wird. Da das bestehende Zertifikat signiert ist, kann es nicht verändert werden.
Damit die Ausstellungsrichtlinien in den Zertifikatantrag aufgenommen werden, muss vor Antragstellung die Datei C:\Windows\capolicy.inf bearbeitet werden. Folgender Absatz muss aufgenommen werden:
[PolicyStatementExtension]
Policies=AnyPolicy
; All Issuance Policies
[AnyPolicy]
OID= 2.5.29.32.0
Anschließend kann ein neuer Zertifikatantrag gestellt werden.
Nachdem die Zertifikatanforderung durch die übergeordnete Zertifizierungsstelle signiert wurde, sollte das neue Zertifizierungsstellen-Zertifikat die Wildcard-Ausstellungsrichtlinie beinhalten.
Deutsch 
English
2 Gedanken zu „Die Wildcard Ausstellungsrichtlinie (All Issuance Policies) in ein Zertifizierungsstellen-Zertifikat aufnehmen“
Kommentare sind geschlossen.