In Teil 1 Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA wurde eine Enterprise Root CA installiert. Teil 2 hat sich mit der Installation der Web Oberfläche der CA beschäftigt: Active Directory Zertifikatsdienste (Teil 2): Installation der Zertifizierungsstellen-Webregistrierung. In diesem Artikel wird darauf aufgebaut und er werden eigens erstellte Zertifikatsvorlagen erstellt. Dieser Artikel ist Teil 3 der Serie Active Directory Zertifikatsdienste.
Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA
Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen
Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit Gruppenrichtlinien verteilen
Active Directory Zertifikatsdienste (Teil 5): Sperrlisten und Sperren eines Zertifikats
Active Directory Zertifikatsdienste (Teil 6): Enrollment Agents und Restricted Enrollment Agents
Active Directory Zertifikatsdienste (Teil 7): Schlüsselarchivierung und Key Recovery Agents
Active Directory Zertifikatsdienste (Teil 8): Sichern und Überwachen einer Enterprise Root-CA
Grundlegendes zu Zertifikatsvorlagen
Zertifikatsvorlagen regeln
- das Format und den Inhalt
- den Ablauf und die Sicherheit
- die Sicherheitseinstellungen
- die Dauer der Gültigkeit
In certtmpl.msc sind bereits einige Vorlagen vordefiniert.
Öffnet man die Eigenschaften eine dieser Vorlagen so wird ersichtlich, dass grundlegende Änderungen wie beispielsweise Gültigkeitsdauer nicht möglich sind. Die Ausnahme bildet der Reiter Sicherheit.
Möchte man nun Änderungen vornehmen dann muss die Vorlage dupliziert werden.
Erstellen einer duplizierten Zertifikatsvorlage
Um eigene und auch veränderbare Vorlagen zu erstellen muss eine Vorlage gewählt werden. Dann öffnet man mit der rechten Maustaste das Kontextmenü und wählt Vorlage duplizieren.
Danach können in der neuen Vorlage Einstellungen wie Gültigkeitsdauer und vieles mehr getroffen werden.
Besonderes Augenmerk sollte auf den Reiter Sicherheit gelegt werden. Hier muss man – um für Benutzer die Vorlage verfügbar zu machen – das Recht Registrieren erteilen.
Da ich in meiner Testumgebung keinen Mailserver betreibe, deaktiviere ich beim Reiter Antragstellername die Information E-Mail-Name. Diese Voreinstellung ist eine Eigenschaft der Vorlage Benutzer. Tue ich das nicht dann würde die Anforderungsverarbeitung eine E-Mail Adresse bei der Anforderung zwingend erfordern, aber der Benutzer verfügt über keine E-Mail Adresse. Dies würde zu einer Ablehnung der Anforderung führen. Bei anderen Vorlagen ist diese Änderung möglicherweise nicht notwendig. Siehe letzter Punkt Troubleshooting.
Die Vorlage ist erstellt.
Ausstellen der Zertifikatsvorlage
Das reine Duplizieren einer Vorlage reicht nicht aus um das Zertifikat für Benutzer verfügbar zu machen. Die Vorlage muss erst ausgestellt werden. Dazu öffnet man certmgr.msc und wählt bei Zertifikatsvorlagen Neu – Auszustellende Zertifikatsvorlage.
Danach wählt man die neue Vorlage und bestätigt mit OK.
Die Vorlage ist bereit.
Testen der Zertifikatsvorlage mithilfe der MMC Zertifikate
Benutzer können nun die Vorlage über die MMC Konsole certmgr.msc beziehen. Dazu wählt man unter Eigene Zertifikate – Zertifikate – Alle Aufgaben – Neues Zertifikat anfordern…
Hier wählt der Benutzer die neue Vorlage aus und klickt auf Registrieren.
Sollte ein Fehler auftreten siehe letzter Punkt Troubleshooting.
Mit einem Doppelklick können Informationen über das Zertifikat eingeholt werden.
Testen der Zertifikatsvorlage mithilfe der Web-Oberfläche
Das Beziehen von Zertifikaten erfolgt nicht ausschließlich über MMC, sondern kann – falls die Zertifizierungsstellen-Webregistrierung wie im Artikel Active Directory Zertifikatsdienste (Teil 2): Installation der Zertifizierungsstellen-Webregistrierung beschrieben installiert ist – auch über eine Weboberfläche erfolgen.
Dazu öffnet man in Internet Explorer
https://ServerNamederCA.DomainName.xxx/certsrv
Wenn hier eine Kennwortabfrage erfolgt, dann kann dies in Internet Explorer mit dem Hinzufügen der Site zu Lokales Intranet umgangen werden.
Sollte hier ein Fehler auftreten siehe nächster Punkt Troubleshooting.
Troubleshooting
Es passiert immer wieder, dass die Zertifikatsvorlage nicht richtig konfiguriert ist. Bei Fehlern der Registrierung sollte die Vorlage nochmals geprüft werden.
Problem: Es fehlt der Eintrag E-Mail Name. Möglicherweise verfügt der Active Directory Benutzer über keine E-Mail im Benutzerkonto. Dies wird aber zwingend verlangt.
Lösung: Entfernen aller zwingenden Information betreff E-Mail-Name in der Zertifikatsvorlage.
Problem: Zertifikatsanforderung wurde verweigert (Richtlinienmodul)
Lösung: Antragstellername auf “Informationen werden in der Aufforderung angegeben” ändern
Weiter gehts mit dem Artikel Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit Gruppenrichtlinien verteilen
Categories: Cyber Security, Windows Server
7 replies »