Nachfolgend eine Anleitung für die Konfiguration einer Webserver-Vorlage mit empfohlenen Einstellungen.
„Konfigurieren einer Secure Socket Layer (SSL) Zertifikatvorlage für Web Server“ weiterlesenSchlagwort: Zertifikatvorlage
Konfigurieren einer Zertifikatvorlage für Authentication Mechanism Assurance (AMA)
Die Authentication Mechanism Assurance (AMA) bietet die Möglichkeit, die Mitgliedschaft in einer Sicherheitsgruppe an die Anmeldung mit einem Smartcard Zertifikat, welches einen bestimmten Object Identifier (OID) enthält, zu binden.
Meldet sich der Benutzer nicht mit dem Smartcard Zertifikat, sondern mit Benutzername und Passwort an, ist er auch nicht Mitglied der Sicherheitsgruppe.
Nachfolgend wird beschrieben, wie eine Zertifikatvorlage für die Nutzung mit der Authentication Mechanism Assurance erzeugt werden kann.
„Konfigurieren einer Zertifikatvorlage für Authentication Mechanism Assurance (AMA)“ weiterlesenDomänencontroller-Zertifikatvorlagen und Smartcard Anmeldung
Damit Domänencontroller Smartcard Anmeldungen verarbeiten können, benötigen sie Zertifikate, welche diese Funktion bereitstellen.
„Domänencontroller-Zertifikatvorlagen und Smartcard Anmeldung“ weiterlesen(Neu-) Installieren der Microsoft Standard Zertifikatvorlagen
Es kann Fälle geben, in welchen es notwendig ist, die Standard Microsoft-Zertifikatvorlagen zu installieren, bevor die erste Active Directory integrierte Zertifizierungsstelle (Enterprise Certification Authority) installiert wird, oder die Vorlagen neu zu installieren, beispielsweise weil sie beschädigt oder anderweitig verändert wurden.
„(Neu-) Installieren der Microsoft Standard Zertifikatvorlagen“ weiterlesenDie Network Device Enrollment Service (NDES) Administrations-Webseite (certsrv/mscep_admin) meldet "You do not have sufficient permission to enroll with SCEP. Please contact your system administrator."
Folgendes Szenario angenommen:
- Ein NDES Server ist im Netzwerk konfiguriert.
- Bei Aufruf der Administrations-Webseite (certsrv/mscep_admin) kommt folgende Meldung:
You do not have sufficient permission to enroll with SCEP. Please contact your system administrator.
„Die Network Device Enrollment Service (NDES) Administrations-Webseite (certsrv/mscep_admin) meldet "You do not have sufficient permission to enroll with SCEP. Please contact your system administrator."“ weiterlesen Gerätevorlage für den Registrierungsdienst für Netzwerkgeräte (NDES) konfigurieren
In der Standardeinstellung beantragt der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) Zertifikate von der Vorlage "IPsec (Offline Request)". Diese Zertifikatvorlage stammt aus Windows 2000 Zeiten und kann nicht bearbeitet werden. Darum ist es empfehlenswert, die Standardeinstellungen zu verändern und eigene Zertifikatvorlagen zu verwenden, die die persönlichen Anforderungen bedienen.
„Gerätevorlage für den Registrierungsdienst für Netzwerkgeräte (NDES) konfigurieren“ weiterlesenEigene Registration Authority (RA) Zertifikatvorlagen für den Registrierungsdienst für Netzwerkgeräte (NDES) verwenden
Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) verwendet zwei Zertifikatvorlagen für seine interne Funktion, um ihn als Registrierungsstelle (Registration Authority, RA) wirken zu lassen. Diese werden während der Rollenkonfiguration des NDES Dienstes auf der konfigurierten Zertifizierungsstelle veröffentlicht und Zertifikate werden beantragt:
- CEP Encryption
- Exchange Enrollment Agent (Offline Request)
Bei diesen Zertifikatvorlagen handelt es sich um Standardvorlagen aus der Windows 2000 Welt (Version 1 Vorlagen), d.h. sie können nicht bearbeitet werden. Darüber hinaus ist die Exchange Enrollment Agent (Offline Request) Vorlage als Benutzervorlage gekennzeichnet, d.h. während der NDES Rollenkonfiguration wird das Zertifikat im Kontext des installierenden Benutzers beantragt und anschließend in den Maschinenspeicher importiert. Spätestens, wenn die Zertifikate nach zwei Jahren erneuert werden sollen, wird es hier kompliziert.
Daher bietet es sich an, eigene Zertifikatvorlagen für NDES zu verwenden. Diese können beispielsweise in Hinsicht auf ihre Schlüssellänge angepasst werden. Auch die Verwendung von Hardware Security Modulen (HSM) ist auf diese Weise möglich. Sogar eine automatische Erneuerung kann konfiguriert werden.
„Eigene Registration Authority (RA) Zertifikatvorlagen für den Registrierungsdienst für Netzwerkgeräte (NDES) verwenden“ weiterlesenWelche Voraussetzungen müssen auf Infrastruktur-Seite erfüllt sein, damit Smartcard-Anmeldungen möglich sind?
Damit eine Smartcard Anmeldung erfolgreich ist, müssen in der Active Directory Umgebung einige Voraussetzungen erfüllt sein:
Beschreibung des Flags EDITF_ADDOLDKEYUSAGE
Wenn man eine untergeordnete Zertifizierungsstelle installiert, stößt man unter Umständen auf folgendes Verhalten:
- Man beantragt eine Key Usage Erweiterung, die beispielsweise als kritisch markiert ist, oder nicht DigitalSignature beinhaltet.
- Das von der übergeordneten Zertifizierungsstelle ausgestellte Zertifikat beinhaltet jedoch DigitalSignature, und die Key Usage Erweiterung ist als nicht-kritisch markiert.
- Bei der übergeordneten Zertifizierungsstelle handelt es sich um eine Standalone-Zertifizierungsstelle, d.h. ohne Active Directory Integration.
Wie sicher ist die Einstellung "Allow private key to be exported" in den Zertifikatvorlagen?
PKI-Administratoren gehen häufig davon aus, dass die Option in der Zertifikatvorlage , den privaten Schlüssel nicht zum Export zu erlauben, verbindlich ist.
„Wie sicher ist die Einstellung "Allow private key to be exported" in den Zertifikatvorlagen?“ weiterlesenÜbersicht über die verschiedenen Generationen von Domänencontroller-Zertifikaten
Über die Generationen der Windows-Betriebssysteme wurden verschiedene Zertifikatvorlagen für Domänencontroller etabliert. In einem aktuellen Active Directory Verzeichnisdienst wird man drei verschiedene Vorlagen für diesen Zweck finden.
- Domain Controller
- Domain Controller Authentication
- Kerberos Authentication
Nachfolgend eine Beschreibung der einzelnen Vorlagen und eine Empfehlung für die Konfiguration von Domänencontroller-Zertifikatvorlagen.
„Übersicht über die verschiedenen Generationen von Domänencontroller-Zertifikaten“ weiterlesenDer Onlineresponder (OCSP) beantragt alle vier Stunden neue Signaturzertifikate
Folgendes Szenario angenommen:
- Die Online Responder sind konfiguriert, Signaturzertifikate anhand einer Zertifikatvorlage von einer Active Directory integrierten Zertifizierungsstelle zu beantragen.
- Die Online Responder beantragen in regelmäßigen Abständen (alle vier Stunden) ein neues Signaturzertifikat, obwohl das bestehende Zertifikat noch ausreichend lange gültig ist.
Erweiterte Abfragen gegen die Zertifizierungsstellen-Datenbank
Die Zertifizierungsstellen-Datenbank speichert einen Großteil der Informationen über die Aktivitäten einer Zertifizierungsstelle. Sie enthält unter Anderem Informationen über:
- Ausgestellte Zertifikate
- Widerrufene Zertifikate
- Veröffentlichte Sperrlisten
- Ausstehende Zertifikatanforderungen
- Abgelehnte Zertifikatanforderungen
- Fehlgeschlagene Zertifikatanforderungen
Eine Einsicht in den Inhalt Zertifizierungsstellen-Datenbank erfolgt üblicherweise über die Managementkonsole der Zertifizierungsstelle (certsrv.msc), jedoch sind die Möglichkeiten für eine Auswertung und insbesondere für eine maschinelle Verarbeitung sehr beschränkt.
„Erweiterte Abfragen gegen die Zertifizierungsstellen-Datenbank“ weiterlesenDie Beantragung eines Zertifikats für Domänencontroller schlägt fehl mit Fehlermeldung "The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)"
Folgendes Szenario:
- Die Beantragung eines Zertifikats für einen Domänencontroller schlägt fehl.
- Auf der Zertifizierungsstelle wird die Zertifkatanforderung bei den fehlgeschlagenen Anforderungen (failed Requests) protokolliert. Die Fehlermeldung lautet:
The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)„Die Beantragung eines Zertifikats für Domänencontroller schlägt fehl mit Fehlermeldung "The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)"“ weiterlesen
Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung "A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted."
Folgendes Szenario angenommen:
- Man versucht, ein Zertifikat von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
- Hierzu verwendet man die Microsoft Management Konsole (MMC), entweder für den angemeldeten Benutzer (certmgr.msc) oder für den Computer (certlm.msc).
- Man bekommt die gewünschte Zertifikatvorlage jedoch nicht zur Auswahl angezeigt, obwohl sie korrekt auf der Zertifizierungsstelle veröffentlicht wurde.
- Der angemeldete Benutzer (oder Computer) hat auch die notwendigen Berechtigungen, Zertifikate von der betreffenden Zertifikatvorlage zu beantragen (Enroll).
- In der Liste der verfügbaren Zertifikatvorlagen innerhalb der MMC lässt man sich alle Zertifikatvorlagen anzeigen. Bei der gewünschten Zertifikatvorlage steht:
A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted.„Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung "A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted."“ weiterlesen
Deutsch 
English