Schlagwort: Subject Distinguished Name

Verwenden von nicht definierten Relative Distinguished Names (RDN) in ausgestellten Zertifikaten

Manchmal ist es erforderlich, Relative Distinguished Names (RDNs) in ausgestellten Zertifikaten zu erlauben, die nicht definiert sind und entsprechend auch nicht im SubjectTemplate Wert der Registrierung der Zertifizierungsstelle konfiguriert werden könnten.

Ein Beispiel hierfür ist der Organization Identifier mit Objektidentifizierer 2.5.4.97, der beispielsweise für Zertifikate benötigt wird, die zur eIDAS Verordnung konform sind.

„Verwenden von nicht definierten Relative Distinguished Names (RDN) in ausgestellten Zertifikaten“ weiterlesen

Die Reihenfolge der Relative Distinguished Names (RDNs) im Subject Distinguished Name (DN) ausgestellter Zertifikate ändern

Microsoft Active Directory Certificate Services übernimmt Subjects aus Zertifikatanträgen für Vorlagen, in welchen dessen Angabe durch den Antragsteller erlaubt ist, nicht 1:1 in das ausgestellte Zertifikat.

Stattdessen ist sowohl definiert, welche Relative Distinguished Names (RDNs) erlaubt sind, als auch, in welcher Reihenfolge diese in ausgestellte Zertifikate geschrieben werden. Diese Reihenfolge kann allerdings verändert werden. Wie das gemacht wird, wird nachfolgend erläutert.

„Die Reihenfolge der Relative Distinguished Names (RDNs) im Subject Distinguished Name (DN) ausgestellter Zertifikate ändern“ weiterlesen

Details zum Ereignis mit ID 53 der Quelle Microsoft-Windows-CertificationAuthority

Ereignisquelle:Microsoft-Windows-CertificationAuthority
Ereignis-ID:53 (0x35)
Ereignisprotokoll:Application
Ereignistyp:Warnung
Symbolischer Name:MSG_DN_CERT_DENIED_WITH_INFO
Ereignistext (englisch):Active Directory Certificate Services denied request %1 because %2. The request was for %3. Additional information: %4
Ereignistext (deutsch):Die Anforderung %1 wurde abgelehnt, da %2. Die Anforderung war für %3. Weitere Informationen: %4
„Details zum Ereignis mit ID 53 der Quelle Microsoft-Windows-CertificationAuthority“ weiterlesen

Details zum Ereignis mit ID 19 der Quelle Microsoft-Windows-CertificationAuthority

Ereignisquelle:Microsoft-Windows-CertificationAuthority
Ereignis-ID:19 (0x13)
Ereignisprotokoll:Application
Ereignistyp:Fehler
Symbolischer Name:MSG_E_REG_BAD_SUBJECT_TEMPLATE
Ereignistext (englisch):Active Directory Certificate Services did not start: The Subject Name Template string in the registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\%1\SubjectTemplate is invalid. An example of a valid string is: CommonName OrganizationalUnit Organization Locality State Country
Ereignistext (deutsch):Die Active Directory-Zertifikatdienste wurden nicht gestartet: Die Zeichenfolge der Antragstellernamensvorlage im Registrierungseintrag HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\%1\SubjectTemplate ist ungültig. Ein Beispiel eines gültigen Eintrags ist: CommonName OrganizationalUnit Organization Locality State Country
„Details zum Ereignis mit ID 19 der Quelle Microsoft-Windows-CertificationAuthority“ weiterlesen

Details zum Ereignis mit ID 22 der Quelle Microsoft-Windows-CertificationAuthority

Ereignisquelle:Microsoft-Windows-CertificationAuthority
Ereignis-ID:22 (0x16)
Ereignisprotokoll:Application
Ereignistyp:Fehler
Symbolischer Name:MSG_E_PROCESS_REQUEST_FAILED_WITH_INFO
Ereignistext (englisch):Active Directory Certificate Services could not process request %1 due to an error: %2. The request was for %3. Additional information: %4
Ereignistext (deutsch):Die Anforderung %1 konnte aufgrund eines Fehlers nicht ausgeführt werden: %2. Die Anforderung bezog sich auf %3. Weitere Informationen: %4
„Details zum Ereignis mit ID 22 der Quelle Microsoft-Windows-CertificationAuthority“ weiterlesen

Konfigurieren einer Zertifikatvorlage für Domänencontroller

Auch bei einer vermeintlich simpel zu konfigurierenden Zertifikatvorlage für Domänencontroller gibt es einiges zu beachten.

„Konfigurieren einer Zertifikatvorlage für Domänencontroller“ weiterlesen

Grundlagen: Auffinden von Zertifikaten und Validierung des Zertifizierungspfades

Um feststellen zu können, ob ein Zertifikat von einer als vertrauenswürdig eingestuften Zertifizierungsstelle ausgestellt wurde, muss eine Vertrauenskette (engl. Trust Chain) gebildet werden. Hierfür müssen alle Zertifikate in der Kette ermittelt und überprüft werden. Die Microsoft CryptoAPI bildet alle möglichen Zertifikatketten und liefert diejenigen mit der höchsten Qualität an die anfragende Anwendung zurück.

„Grundlagen: Auffinden von Zertifikaten und Validierung des Zertifizierungspfades“ weiterlesen

Umlaute in Zertifizierungsstellen-Zertifikaten

Internationalisierte Domänennamen (Internationalized Domain Names, IDNs) werden seit Windows Server 2012 im Rahmen der Zertifizierungsstelle und den dazugehörigen Komponenten offiziell unterstützt.

Möchte man diese in seine Zertifizierungsstellen-Zertifikaten benutzen, gibt es jedoch einige Besonderheiten zu beachten.

„Umlaute in Zertifizierungsstellen-Zertifikaten“ weiterlesen

Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)"

Folgendes Szenario angenommen

  • Es wird eine Zertifikatanforderung an eine Zertifizierungsstelle gesendet.
  • Die Beantragung des Zertifikats schlägt mit folgender Fehlermeldung fehl:
Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)
„Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)"“ weiterlesen

Mehr als ein gemeinsamer Name (Common Name, CN) im Zertifikat

Heutzutage eher eine Kuriosität als wirklich praxisrelevant, aber es kommt hin und wieder vor, dass man Zertifikatanforderungen erhält, welche mehr als einen gemeinsamen Namen (Common Name) im Betreff (Subject) beinhalten. Auch wenn es erstaunlich wirken mag, dies ist durchaus möglich und auch RFC-konform.

„Mehr als ein gemeinsamer Name (Common Name, CN) im Zertifikat“ weiterlesen

Beschreibung der notwendigen Konfigurationseinstellungen für das "Common PKI" Zertifikatprofil

Nachfolgend eine Beschreibung, welche Konfigurationseinstellungen notwendig sind, damit eine auf den Active Directory Certificate Services basierende Zertifikathierarchie konform zum "Common PKI" Standard ist.

„Beschreibung der notwendigen Konfigurationseinstellungen für das "Common PKI" Zertifikatprofil“ weiterlesen

Erlaubte Relative Distinguished Names (RDNs) im Subject Distinguished Name (DN) ausgestellter Zertifikate

Grundsätzlich erlaubt das RFC 5280 die Verwendung beliebiger Zeichenketten im Subject Distinguished Name (DN) eines Zertifikats. Gängige Felder sind im Standard X.520 beschrieben. Die Längenbeschränkungen werden ebenfalls von der ITU-T empfohlen. Die heute gängigen Abkürzungen entstammen überwiegend dem RFC 4519.

Die Microsoft Active Directory Certificate Services erlauben in der Standardeinstellung jedoch nur bestimmte RDNs.

Folgende Relative Distinguished Names (RDNs) werden in der Standardeinstellung von der Active Directory Certificate Services (ADCS) Zertifizierungsstelle angenommen:

„Erlaubte Relative Distinguished Names (RDNs) im Subject Distinguished Name (DN) ausgestellter Zertifikate“ weiterlesen

Den Subject Distinguished Name (DN) einer Zertifikatanforderung (CSR) nachträglich verändern

Manchmal ist es erforderlich, dass der Subject Distinguished Name (auch Subject, Subject DN, Antragsteller oder Betreff genannt) einer Zertifikatanforderung vor Ausstellung des Zertifikats verändert wird.

Unter bestimmten Umständen ist dies durchaus möglich, wie nachfolgend beschrieben wird.

„Den Subject Distinguished Name (DN) einer Zertifikatanforderung (CSR) nachträglich verändern“ weiterlesen
de_DEDeutsch
en_USEnglish de_DEDeutsch