Grundlagen: Ersetzen (Superseding) von Zertifikatvorlagen

Mit der Einführung der Zertifikatvorlagen der Version 2 zusammen mit Windows XP und Windows Server 2003 wurde die Option eingeführt, dass eine Zertifikatvorlage eine oder mehrere andere ersetzen kann.

Hiermit ist es möglich, ausgestellte Zertifikate durch solche einer anderen Zertifikatvorlage zu ersetzen, oder mehrere Zertifikatvorlagen zu einer einzigen hin zu konsolidieren.

Dieser Mechanismus funktioniert nur für Zertifikate, die entweder manuell oder automatisch über Autoenrollment beantragt werden.

Die Konfiguration, welche Zertifikatvorlagen ersetzt werden, wird in der Registerkarte "Superseded Templates" der neuen Zertifikatvorlage konfiguriert.

In dem Moment, wenn der Autoenrollment Prozess ein Zertifikat der neuen Zertifikatvorlage erhält, werden Zertifikate ersetzter Zertifikatvorlagen archiviert, d.h. sie sind noch auf dem Client vorhanden, werden aber nicht mehr zur Auswahl angeboten.

Auf dem Client wird das Ereignis mit ID 10 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll protokolliert.

Es ist auch möglich, einzustellen dass ersetzte Zertifikate aus dem lokalen Zertifikatspeicher gelöscht werden. Diese Einstellung wird in der Registerkarte "Request Handling" der ersetzen Zertifikatvorlage vorgenommen, ist allerdings nur möglich, wenn der Zweck (Purpose) auf "Signature" eingestellt ist.

Ist eine Löschung konfiguriert, wird nicht der private Schlüssel des Zertifikats gelöscht.

Fragen und Antworten zu Superseding

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Erfolgt die Beantragung eines Zertifikats umgehend oder erst, wenn 80% der Gültigkeit der Zertifikats von der ersetzten Zertifikatvorlage abgelaufen sind?

Im Gegensatz zur Erneuerung eines Zertifikats von der gleichen Zertifikatvorlage erfolgt die Beantragung eines Zertifikats von der neuen Zertifikatvorlage nicht erst nach Ablauf von 80% der Zertifikatgültigkeit der ersetzten Zertifikatvorlage, sondern sofort (d.h. sobald sich ein Client erfolgreich am Active Directory anmeldet und der Autoenrollment Prozess ausgelöst wurde).

Muss die ersetzte Zertifikatvorlage noch veröffentlicht sein?

Nein. Sie muss nicht weiter veröffentlicht werden. Sofern alle Benutzer für die Zertifikatbeantragung auf die neue Zertifikatvorlage berechtigt sind, wird aber auch keine Zertifikatbeantragung gegenüber der ersetzten Zertifikatvorlage erfolgen, auch wenn diese weiterhin auf einer Zertifizierungsstelle veröffentlicht ist.

Wenn ich auf die neue Zertifikatvorlage nicht berechtigt bin, bekomme ich dann noch einmal ein Zertifikat von der ersetzten Zertifikatvorlage?

Ja. Voraussetzung ist, dass die ersetzte Zertifikatvorlage noch auf einer Zertifizierungsstelle veröffentlicht wurde.

Werden Zertifikate einer ersetzten Zertifikatvorlage auch aus dem Benutzerkonto (UserCertificate) Attribut gelöscht?

Nein, eine solche Löschung muss abseits der PKI-Mechanismen implementiert werden.

Weiterführende Links:

Externe Quellen

de_DEDeutsch