Microsoft Active Directory Certificate Services übernimmt Subjects aus Zertifikatanträgen für Vorlagen, in welchen dessen Angabe durch den Antragsteller erlaubt ist, nicht 1:1 in das ausgestellte Zertifikat.
Stattdessen ist sowohl definiert, welche Relative Distinguished Names (RDNs) erlaubt sind, als auch, in welcher Reihenfolge diese in ausgestellte Zertifikate geschrieben werden. Diese Reihenfolge kann allerdings verändert werden. Wie das gemacht wird, wird nachfolgend erläutert.
Es gibt Anwendungen, welche das Subject des ausgestellten Zertifikats mit der eingereichten Zertifikatanforderung vergleichen. Wird die Reihenfolge der Relative Distinguished Names verändert kann es sein, dass Zertifikatanforderungen fehlschlagen. Ein Beispiel hierfür ist der SSCEP Client für Linux, der unter Anderem oft in Thin Clients zum Einsatz kommt. Ebenso ist auch die Signatur von Appx Paketen betroffen.
Die aktuellen Einstellungen ermitteln
Die aktuell konfigurierte Reihenfolge kann mit folgendem Kommandozeilenbefehl auf der Zertifizierungsstelle überprüft werden:
certutil -v -getreg CA\SubjectTemplate
Die Reihenfolge ist in der Standardeinstellung wie folgt:
- CommonName
- OrganizationalUnit
- Organization
- Locality
- State
- DomainComponent
- Country
Bedient die Zertifizierungsstelle einen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES), sind außerdem noch folgende RDNs definiert:
- UnstructuredName
- UnstructuredAddress
- DeviceSerialNumber
Die Reihenfolge verändern
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Bei Änderung per Copy/Paste mit dem Registrierungseditor kann es dazu kommen, dass der Registrierungswert nicht mehr lesbar ist und die Zertifizierungsstelle nicht mehr startet. In diesem Fall wird sie das Ereignis Nr. 19 protokollieren.
Die Änderung der Reihenfolge erfolgt vorzugsweise über die Kommandozeile. Hierbei werden alle Werte in einer Zeile, getrennt durch das Zeichen für den Zeilenumbruch hintereinander eingetragen.
Beispiel:
certutil -setreg CA\SubjectTemplate "EMail\nCommonName\nOrganizationalUnit\nOrganization\nLocality\nState\nDomainComponent\nCountry"
Der Zertifizierungsstellen-Dienst muss anschließend neu gestartet werden, damit die Änderungen angewendet werden.
Alternative: Neubildung des Subject bei Ausstellung des Zertifikats deaktivieren
Die Zertifizierungsstelle kann auch konfiguriert werden, die beantragten RDNs ohne Veränderung zu übernehmen. Siehe hierzu Artikel "Verwenden von nicht definierten Relative Distinguished Names (RDN) in ausgestellten Zertifikaten".
6 Gedanken zu „Die Reihenfolge der Relative Distinguished Names (RDNs) im Subject Distinguished Name (DN) ausgestellter Zertifikate ändern“
Kommentare sind geschlossen.