Zertifikat-Benutzung – Seite 16

Die Beantragung eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung "The certification authority’s certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)"

Folgendes Szenario angenommen:

Es wird ein Zertifizierungsstellen-Zertifikat von einer Zertifizierungsstelle beantragt
Die Zertifikatanforderung schlägt mit folgender Fehlermeldung fehl:

The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)
Denied by Policy Module

Einschränkung der Pfadlänge (Path Length Constraint) für von einer Zertifizierungsstelle ausgestellte Zertifikate konfigurieren

Für eine stärkere Kontrolle über die von einer Zertifizierungsstelle ausstellbaren Zertifikate kann eine Einschränkung der Pfadlänge (Path Length Constraint) eingerichtet werden, sodass Zertifizierungsstellen ab einer definierten Hierarchieebene nicht mehr in der Lage sind untergeordnete Zertifizierungsstellen-Zertifikate auszustellen

Für eine Erklärung der Funktionsweise der Einschränkung der Pfadlänge siehe Artikel "Grundlagen: Einschränkung der Pfadlänge (Path Length Constraint)".

Konfigurieren einer Zertifikatvorlage für Remotedesktop (RDP) Zertifikate

Für die Verwendung von Remotedesktop-Zertifikaten ist es erforderlich, eine entsprechende Zertifikatvorlage zu konfigurieren.

Identifizieren des aktiven Remotedesktop (RDP) Zertifikats

Hat man eine Zertifikatvorlage für Remotedesktop-Zertifikate und eine entsprechende Gruppenrichtlinine konfiguriert, oder ein Remotedesktop-Zertifikat manuell zugewiesen, möchte man vielleicht überprüfen, ob die Zertifikate auf den teilnehmenden Computern auch korrekt vom Remotedesktop-Sitzungshost verwendet werden.

Konfigurieren einer Gruppenrichtlinie (GPO) für Remotedesktop (RDP) Zertifikate

Nachdem eine Zertifikatvorlage für die Verteilung von Remotedesktop-Zertifikaten konfiguriert wurde (siehe Artikel "Konfigurieren einer Zertifikatvorlage für Remotedesktop (RDP) Zertifikate"), wird noch eine Gruppenrichtlinie benötigt, welche die teilnehmenden Computer anweist, die von der Vorlage stammenden Zertifikate auch zu verwenden.

Wiederherstellung eines Zertifizierungsstellenzertifikats mit Hardware Security Modul (HSM)

Nachfolgend wird die Wiederherstellung eines Zertifizierungsstellen-Zertifikats mit Software-Schlüssel beschrieben.

Die Wiederherstellung des Zertifizierungsstellen-Zertifikats kann aus folgenden Gründen notwendig sein:

Wiederherstellen einer Zertifizierungsstelle aus einer Sicherung
Migration der Zertifizierungsstelle auf einen neuen Server
Notfallsignierung der Sperrlisten auf einem anderen Computer

Wiederherstellung eines Zertifizierungsstellenzertifikats mit Software-Schlüssel

Nachfolgend wird die Wiederherstellung eines Zertifizierungsstellen-Zertifikats mit Software-Schlüssel beschrieben.

Die Wiederherstellung des Zertifizierungsstellen-Zertifikats kann aus folgenden Gründen notwendig sein:

Wiederherstellen einer Zertifizierungsstelle aus einer Sicherung
Migration der Zertifizierungsstelle auf einen neuen Server
Notfallsignierung der Sperrlisten auf einem anderen Computer

Welchen Einfluss hat der Ablauf eines der Zertifizierungsstellen-Zertifikate auf die Zertifizierungsstelle?

Zertifizierungsstellen-Zertifikate haben ein definiertes Anfangs- und Enddatum, sodass es während des Lebenszyklus einer Zertifizierungsstelle unausweichlich ist, dass Zertifizierungsstellen-Zertifikate ablaufen.

Nachfolgend werden die Auswirkungen eines ablaufenden Zertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle beschrieben.

Alle für eine Zertifikatvorlage ausgestellten Zertifikate automatisch von den Zertifikatinhabern erneuern lassen

Beim Betrieb einer Zertifizierungsstelle kann es vorkommen, dass alle ausgestellten Zertifikate für eine bestimmte Zertifikatvorlage erneuert werden müssen, beispielsweise aufgrund größerer Konfigurationsänderungen oder Wechsel der ausstellenden Zertifizierungsstelle. Nachfolgend wird ein Mechanismus beschrieben, mit dem dies automatisiert erreicht werden kann.

Welchen Einfluss hat der Ablauf der Sperrliste einer der übergeordneten Zertifizierungsstellen auf die Zertifizierungsstelle?

Leider kommt es in der Praxis hin und wieder vor, dass die Sperrliste einer übergeordneten Zertifizierungsstelle abläuft und eine Erneuerung ausbleibt. Auch kann dies planmäßig, etwa bei Außerbetriebnahme einer alten Hierarchie geschehen.

Welchen Einfluss hat der Import eines Stammstellenzertifikats in den "Untrusted Certificates" Speicher auf die Zertifizierungsstelle?

Nachfolgend werden die Auswirkungen auf den Zertifizierungsstellen-Betrieb beschrieben, wenn ein Stammstellenzertifikat, welches eines der Zertifizierungsstellen-Zertifikate einer Zertifizierungsstelle ausgestellt hat, auf der Zertifizierungsstelle in den Speicher für nicht vertrauenswürdige Zertifikate (Untrusted Certificates) importiert wird.

Dieser Fall kann planmäßig eintreten, beispielsweise, wenn eine frühere Zertifizierungsstellen-Hierarchie außer Betrieb genommen werden soll.

Exportieren archivierter privater Schlüssel aus der Zertifizierungsstellen-Datenbank

Wenn die Archivierung privater Schlüssel aktiviert wurde, kann es unter Umständen erforderlich sein, diese Schlüssel aus der Zertifizierungsstellen-Datenbank zu exportieren und in ein anderes Format (PKCS#12, PFX) umzuwandeln, beispielsweise für eine Langzeitarchivierung.

Nachfolgend eine Beschreibung der Vorgehensweise für den Export einzelner oder aller archivierten Schlüssel sowie der Gewinnung der notwendigen Metainformationen.

Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT)"

Folgendes Szenario angenommen:

Es ist eine Zertifizierungsstelle im Netzwerk implementiert.
Der Zertifizierungsstellen-Dienst startet nicht.
Beim Versuch, den Zertifizierungsstellen-Dienst zu starten, erhält man folgende Fehlermeldung:

A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT)

Den Adress-Zwischenspeicher für Sperrlisten (CRL URL Cache) einsehen und löschen

Alle Anwendungen, die das Microsoft Cryptographic Application Programming Interface Version 2 (Crypto API Version 2, CAPI2) verwenden, haben einen Mechanismus für die Zwischenspeicherung von Sperrinformationen für Zertifikate (Zertifikatsperrlisten und OCSP-Antworten).

Es kann somit nicht garantiert werden, dass beispielsweise eine neu veröffentlichte Sperrliste von den Teilnehmern verwendet wird, bevor die vorige Sperrliste, die sich noch im Cache befindet, abgelaufen ist.

Nachfolgend wird beschrieben, wie man den Sperrlisten-Cache einsehen und beeinflussen kann.

Welchen Einfluss hat der Widerruf eines Zertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle?

Nachfolgend werden die Auswirkungen auf den Zertifizierungsstellen-Betrieb beschrieben, wenn eines der Zertifizierungsstellen-Zertifikate einer Zertifizierungsstelle widerrufen wird.

Dieser Fall kann auch planmäßig eintreten, beispielsweise, wenn eine frühere Zertifizierungsstellen-Hierarchie außer Betrieb genommen werden soll.