1
W2k3Std und PKI und EFS
PKI in Windows 2003 Std. Domäne - EFS-Zertifikatvorlagen - Gültigkeitsdauer
Hallo zusammen,
wir haben in unserer Domäne (Win2003Std) die PKI (AD-Integriert, RootCA) installiert. Die PKI läuft auch soweit, die Clients können EFS-Zertifikate usw. anfordern.
Eigentlich wollten wir EFS testen. Wenn wir nun ein EFS-Zertifikat ausstellen lassen, hat dies nur eine Gültigkeit von 1 Jahr.
Eine Änderung der Gültigkeitsdauer kann nur über sog. Version 2 - Zertifikatvorlagen erfolgen. Das haben wir soweit versucht mit dem Ergebnis, dass die (kopierten) V1-Vorlagen dann zu V2-Vorlagen werden, die wiederrum nur von Win2003-Enterprise Edition ausgestellt werden können.
Führt der einzige Weg, länger gültige EFS-Zertifikate zu erhalten, ausschliesslich über den Win2003 Enterprise Edition Server ?
Gruss
Stefan
Hallo zusammen,
wir haben in unserer Domäne (Win2003Std) die PKI (AD-Integriert, RootCA) installiert. Die PKI läuft auch soweit, die Clients können EFS-Zertifikate usw. anfordern.
Eigentlich wollten wir EFS testen. Wenn wir nun ein EFS-Zertifikat ausstellen lassen, hat dies nur eine Gültigkeit von 1 Jahr.
Eine Änderung der Gültigkeitsdauer kann nur über sog. Version 2 - Zertifikatvorlagen erfolgen. Das haben wir soweit versucht mit dem Ergebnis, dass die (kopierten) V1-Vorlagen dann zu V2-Vorlagen werden, die wiederrum nur von Win2003-Enterprise Edition ausgestellt werden können.
Führt der einzige Weg, länger gültige EFS-Zertifikate zu erhalten, ausschliesslich über den Win2003 Enterprise Edition Server ?
Gruss
Stefan
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 103286
Url: https://administrator.de/contentid/103286
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
1 Kommentar
Update:
Was ich bisher so rausbekommen habe, lässt sich das ganze "ordentlich" tatsächlich nur über die 2003er Enterprise-Edition aufbauen, wegen des Risikos dass der EFS-Schlüssel eben nur ein Jahr gültig ist.
Eine anderer Ansatz wäre folgende Dirty-Lösung:
Über einen PC, der nicht in der Domäne hängt, ein Wiederherstellungszertifikat ausstellen (cipher /R) und auch ein EFS-Zertifikat. Dies sind beide so um die 100 Jahre gültig, also lange genug.
Das Wiederherstellungszertifikat bei einem bestimmten Domänenuser importieren, ebenso das Wiederherstellungszertifikat (bei zweitem anderen Domänenuser).
Dann noch in der Default Domain Policy das Wiederherstellungszertifikat unter "Richtl. öffentl. Schlüssel" "verschlüsseltes Dateisystem" und "Datenwiederherstellungsagent hinzufügen" integrieren.
Was fällt Euch denn zu dieser Dirty-Lösung ein, ausser dass sie eine zentrale PKI überflüssig macht und sicherheitstechnisch bedenklich ist?
Was ich bisher so rausbekommen habe, lässt sich das ganze "ordentlich" tatsächlich nur über die 2003er Enterprise-Edition aufbauen, wegen des Risikos dass der EFS-Schlüssel eben nur ein Jahr gültig ist.
Eine anderer Ansatz wäre folgende Dirty-Lösung:
Über einen PC, der nicht in der Domäne hängt, ein Wiederherstellungszertifikat ausstellen (cipher /R) und auch ein EFS-Zertifikat. Dies sind beide so um die 100 Jahre gültig, also lange genug.
Das Wiederherstellungszertifikat bei einem bestimmten Domänenuser importieren, ebenso das Wiederherstellungszertifikat (bei zweitem anderen Domänenuser).
Dann noch in der Default Domain Policy das Wiederherstellungszertifikat unter "Richtl. öffentl. Schlüssel" "verschlüsseltes Dateisystem" und "Datenwiederherstellungsagent hinzufügen" integrieren.
Was fällt Euch denn zu dieser Dirty-Lösung ein, ausser dass sie eine zentrale PKI überflüssig macht und sicherheitstechnisch bedenklich ist?
