4
Windows CA Request.CommonName ungleich .Requestername
Moin Kollegen.
Ich staune gerade. Auf unserer CA ist ein Request eingegangen für ein SmartCard-Zertifikat. Kommt ständig vor.
Nur ist bei diesem der request.commonname nicht wie üblich der selbe Nutzer, wie der request.requestername und das verstehe ich ganz und gar nicht. Es sind zwei verschiedene, aktuelle Nutzer.
Ich weiß nicht einmal, wie das technisch möglich gemacht werden kann, wo die Nutzer ausschließlich das Auto-Enrollment per Wizard nutzen.
Ihr?
Ich staune gerade. Auf unserer CA ist ein Request eingegangen für ein SmartCard-Zertifikat. Kommt ständig vor.
Nur ist bei diesem der request.commonname nicht wie üblich der selbe Nutzer, wie der request.requestername und das verstehe ich ganz und gar nicht. Es sind zwei verschiedene, aktuelle Nutzer.
Ich weiß nicht einmal, wie das technisch möglich gemacht werden kann, wo die Nutzer ausschließlich das Auto-Enrollment per Wizard nutzen.
Ihr?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 22095174048
Url: https://administrator.de/contentid/22095174048
Ausgedruckt am: 24.11.2024 um 04:11 Uhr
4 Kommentare
Neuester Kommentar
Es beginnt, sich aufzuklären.
Beide beteiligte Nutzer haben eines gemeinsam: sie hatten neue SmartCards bekommen (Verlust bzw. verlegt). Eine Karte davon ist wieder aufgetaucht und wenn der Kollege nun völlig gepennt hat, hat er das Zertifikat nicht weiter beachtet und sie einem anderen Kollegen gegeben. Das ist zwar schwer vorstellbar, da der Prozess genau definiert ist und auch bislang eingehalten wurde, aber danach sieht es aus.
Sprich: Nutzer A bekam bei Kartenverlust eine Karte, die mal Nutzer B gehörte und dessen Zertifikat war noch drauf!
Da der Nutzer abwesend ist, kann das erst demnächst verifiziert werden.
Das könnte doch sehr peinlich werden
Beide beteiligte Nutzer haben eines gemeinsam: sie hatten neue SmartCards bekommen (Verlust bzw. verlegt). Eine Karte davon ist wieder aufgetaucht und wenn der Kollege nun völlig gepennt hat, hat er das Zertifikat nicht weiter beachtet und sie einem anderen Kollegen gegeben. Das ist zwar schwer vorstellbar, da der Prozess genau definiert ist und auch bislang eingehalten wurde, aber danach sieht es aus.
Sprich: Nutzer A bekam bei Kartenverlust eine Karte, die mal Nutzer B gehörte und dessen Zertifikat war noch drauf!
Da der Nutzer abwesend ist, kann das erst demnächst verifiziert werden.
Das könnte doch sehr peinlich werden
dessen Zertifikat war noch drauf!
Also macht euer Auto-Enrollment kein neues Zertifikat, sondern verlängert das vorhandene und nutzt dadurch den ursprünglichen CN aber eben mit dem neuen User als Requester?
Moin.
Unsere Einstellung ist: neues Zert löst bestehendes gültiges ab. Ist kein gültiges drauf, wird eins beantragt ("pending request") und der Admin genehmigt es. Hier war wohl (noch unbestätigt) neben dem gültigen ein Ablaufendes, an der CA revoketes drauf, was des Autorenrollmechanismus offenbar zum Anlass nimmt, nach einem neuen zu fragen.
Ich teile noch mit, wie es war.
Unsere Einstellung ist: neues Zert löst bestehendes gültiges ab. Ist kein gültiges drauf, wird eins beantragt ("pending request") und der Admin genehmigt es. Hier war wohl (noch unbestätigt) neben dem gültigen ein Ablaufendes, an der CA revoketes drauf, was des Autorenrollmechanismus offenbar zum Anlass nimmt, nach einem neuen zu fragen.
Ich teile noch mit, wie es war.
Ja, es war wie vermutet: Die Karte eines ausgeschiedenen MAs wurde weitergegeben an einen neuen MA und das Zertifikat des alten war zwar an der CA revoked worden, aber nicht von der Karte gelöscht.
1
