leipy
Goto Top

W2k3Std und PKI und EFS

PKI in Windows 2003 Std. Domäne - EFS-Zertifikatvorlagen - Gültigkeitsdauer

Hallo zusammen,
wir haben in unserer Domäne (Win2003Std) die PKI (AD-Integriert, RootCA) installiert. Die PKI läuft auch soweit, die Clients können EFS-Zertifikate usw. anfordern.

Eigentlich wollten wir EFS testen. Wenn wir nun ein EFS-Zertifikat ausstellen lassen, hat dies nur eine Gültigkeit von 1 Jahr.
Eine Änderung der Gültigkeitsdauer kann nur über sog. Version 2 - Zertifikatvorlagen erfolgen. Das haben wir soweit versucht mit dem Ergebnis, dass die (kopierten) V1-Vorlagen dann zu V2-Vorlagen werden, die wiederrum nur von Win2003-Enterprise Edition ausgestellt werden können.

Führt der einzige Weg, länger gültige EFS-Zertifikate zu erhalten, ausschliesslich über den Win2003 Enterprise Edition Server ?

Gruss
Stefan

Content-ID: 103286

Url: https://administrator.de/forum/w2k3std-und-pki-und-efs-103286.html

Ausgedruckt am: 23.12.2024 um 16:12 Uhr

leipy
leipy 08.12.2008 um 13:40:41 Uhr
Goto Top
Update:
Was ich bisher so rausbekommen habe, lässt sich das ganze "ordentlich" tatsächlich nur über die 2003er Enterprise-Edition aufbauen, wegen des Risikos dass der EFS-Schlüssel eben nur ein Jahr gültig ist.

Eine anderer Ansatz wäre folgende Dirty-Lösung:
Über einen PC, der nicht in der Domäne hängt, ein Wiederherstellungszertifikat ausstellen (cipher /R) und auch ein EFS-Zertifikat. Dies sind beide so um die 100 Jahre gültig, also lange genug.
Das Wiederherstellungszertifikat bei einem bestimmten Domänenuser importieren, ebenso das Wiederherstellungszertifikat (bei zweitem anderen Domänenuser).
Dann noch in der Default Domain Policy das Wiederherstellungszertifikat unter "Richtl. öffentl. Schlüssel" "verschlüsseltes Dateisystem" und "Datenwiederherstellungsagent hinzufügen" integrieren.

Was fällt Euch denn zu dieser Dirty-Lösung ein, ausser dass sie eine zentrale PKI überflüssig macht und sicherheitstechnisch bedenklich ist?