SID-500

Home » Security » Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen

Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen

In Teil 1 Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA wurde eine Enterprise Root CA installiert. Teil 2 hat sich mit der Installation der Web Oberfläche der CA beschäftigt: Active Directory Zertifikatsdienste (Teil 2): Installation der Zertifizierungsstellen-Webregistrierung. In diesem Artikel wird darauf aufgebaut und er werden eigens erstellte Zertifikatsvorlagen erstellt. Dieser Artikel ist Teil 3 der Serie Active Directory Zertifikatsdienste.


Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA

Active Directory Zertifikatsdienste (Teil 2): Installation der Zertifizierungsstellen-Webregistrierung

Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen

Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit Gruppenrichtlinien verteilen

Active Directory Zertifikatsdienste (Teil 5): Sperrlisten und Sperren eines Zertifikats

Active Directory Zertifikatsdienste (Teil 6): Enrollment Agents und Restricted Enrollment Agents

Active Directory Zertifikatsdienste (Teil 7): Schlüsselarchivierung und Key Recovery Agents

Active Directory Zertifikatsdienste (Teil 8): Sichern und Überwachen einer Enterprise Root-CA


Grundlegendes zu Zertifikatsvorlagen

Zertifikatsvorlagen regeln

  • das Format und den Inhalt
  • den Ablauf und die Sicherheit
  • die Sicherheitseinstellungen
  • die Dauer der Gültigkeit

In certtmpl.msc sind bereits einige Vorlagen vordefiniert.

1.PNG

Öffnet man die Eigenschaften eine dieser Vorlagen so wird ersichtlich, dass grundlegende Änderungen wie beispielsweise Gültigkeitsdauer nicht möglich sind. Die Ausnahme bildet der Reiter Sicherheit.

3.PNG4.PNG

Möchte man nun Änderungen vornehmen dann muss die Vorlage dupliziert werden.

Erstellen einer duplizierten Zertifikatsvorlage

Um eigene und auch veränderbare Vorlagen zu erstellen muss eine Vorlage gewählt werden. Dann öffnet man mit der rechten Maustaste das Kontextmenü und wählt Vorlage duplizieren.

5a

Danach können in der neuen Vorlage Einstellungen wie Gültigkeitsdauer und vieles mehr getroffen werden.

6a

Besonderes Augenmerk sollte auf den Reiter Sicherheit gelegt werden. Hier muss man – um für Benutzer die Vorlage verfügbar zu machen – das Recht Registrieren erteilen.

7a

Da ich in meiner Testumgebung keinen Mailserver betreibe, deaktiviere ich beim Reiter Antragstellername die Information E-Mail-Name. Diese Voreinstellung ist eine Eigenschaft der Vorlage Benutzer. Tue ich das nicht dann würde die Anforderungsverarbeitung eine E-Mail Adresse bei der Anforderung zwingend erfordern, aber der Benutzer verfügt über keine E-Mail Adresse. Dies würde zu einer Ablehnung der Anforderung führen. Bei anderen Vorlagen ist diese Änderung möglicherweise nicht notwendig. Siehe letzter Punkt Troubleshooting.

7b

Die Vorlage ist erstellt.

8a

Ausstellen der Zertifikatsvorlage

Das reine Duplizieren einer Vorlage reicht nicht aus um das Zertifikat für Benutzer verfügbar zu machen. Die Vorlage muss erst ausgestellt werden. Dazu öffnet man certmgr.msc und wählt bei Zertifikatsvorlagen Neu – Auszustellende Zertifikatsvorlage.

9a

Danach wählt man die neue Vorlage und bestätigt mit OK.

10a

Die Vorlage ist bereit.

11a

Testen der Zertifikatsvorlage mithilfe der MMC Zertifikate

Benutzer können nun die Vorlage über die MMC Konsole certmgr.msc beziehen. Dazu wählt man unter Eigene Zertifikate – Zertifikate – Alle Aufgaben – Neues Zertifikat anfordern…

12a13a

14

Hier wählt der Benutzer die neue Vorlage aus und klickt auf Registrieren.

15a

Sollte ein Fehler auftreten siehe letzter Punkt Troubleshooting.

16a

u.PNG

Mit einem Doppelklick können Informationen über das Zertifikat eingeholt werden.

17a.PNG

Testen der Zertifikatsvorlage mithilfe der Web-Oberfläche

Das Beziehen von Zertifikaten erfolgt nicht ausschließlich über MMC, sondern kann – falls die Zertifizierungsstellen-Webregistrierung wie im Artikel Active Directory Zertifikatsdienste (Teil 2): Installation der Zertifizierungsstellen-Webregistrierung beschrieben installiert ist – auch über eine Weboberfläche erfolgen.

Dazu öffnet man in Internet Explorer

https://ServerNamederCA.DomainName.xxx/certsrv

Wenn hier eine Kennwortabfrage erfolgt, dann kann dies in Internet Explorer mit dem Hinzufügen der Site zu Lokales Intranet umgangen werden.

1

1821a

Sollte hier ein Fehler auftreten siehe nächster Punkt Troubleshooting.

Troubleshooting

Es passiert immer wieder, dass die Zertifikatsvorlage nicht richtig konfiguriert ist. Bei Fehlern der Registrierung sollte die Vorlage nochmals geprüft werden.

Problem: Es fehlt der Eintrag E-Mail Name. Möglicherweise verfügt der Active Directory Benutzer über keine E-Mail im Benutzerkonto. Dies wird aber zwingend verlangt.16b

Lösung: Entfernen aller zwingenden Information betreff E-Mail-Name in der Zertifikatsvorlage.

7b

Beispiel 2: Fehler bei der Anforderung über die Weboberfläche

Problem: Zertifikatsanforderung wurde verweigert (Richtlinienmodul)

22

Lösung: Antragstellername auf “Informationen werden in der Aufforderung angegeben” ändern

x.PNG

Weiter gehts mit dem Artikel Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit Gruppenrichtlinien verteilen


7 Comments

  1. […] Weiter gehts mit Teil 3: Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen […]

    Like

  2. […] wurden in Teil 3 Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen Zertifikatsvorlagen erstellt und Zertifikate manuell über MMC oder die Weboberfläche […]

    Like

  3. […] Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen […]

    Like

  4. […] hier Änderungen erwünscht sein dann muss eine neue Enrollment Agent Vorlage wie in Teil 3  Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen beschrieben erstellt […]

    Like

  5. […] Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen […]

    Like

  6. […] Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen […]

    Like

  7. […] Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen […]

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Categories

WHOIS

My name is Patrick Grünauer (pewa2303). I am from Austria. On sid-500 I write about Windows, Cisco and IT-Security in English and German. Have fun while reading!

Patrick Gruenauer
Follow SID-500 on WordPress.com