Stammzertifizierungsstellen (Root CA) erzeugen bei Erneuerung des Zertifizierungsstellen-Zertifikats sogenannte Kreuzzertifizierungsstellen-Zertifikate (Cross Signing).
Mitunter kann es sein, dass hierbei Probleme auftreten, wie beispielsweise im Artikel "Die Beantragung eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung "The certification authority’s certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)"" beschrieben.
In einem solchen Fall möchte man vielleicht die Erstellung der Kreuzzertifizierungsstellen-Zertifikate unterbinden.
Umsetzung
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Dies ist mit folgendem Kommandozeilenbefehl auf der Stammzertifizierungsstelle möglich:
certutil -setreg CA\CRLFlags +CRLF_DISABLE_ROOT_CROSS_CERTS
Damit die Einstellungen wirksam werden, ist ein Neustart des Zertifizierungsstellen-Dienstes erforderlich.
Deutsch 
English
Ein Gedanke zu „Deaktivieren der Erzeugung der Kreuzzertifizierungsstellen-Zertifikate auf einer Stammzertifizierungsstelle“
Kommentare sind geschlossen.