derwowusste
Goto Top

Windows CA Request.CommonName ungleich .Requestername

Moin Kollegen.

Ich staune gerade. Auf unserer CA ist ein Request eingegangen für ein SmartCard-Zertifikat. Kommt ständig vor.
Nur ist bei diesem der request.commonname nicht wie üblich der selbe Nutzer, wie der request.requestername und das verstehe ich ganz und gar nicht. Es sind zwei verschiedene, aktuelle Nutzer.

Ich weiß nicht einmal, wie das technisch möglich gemacht werden kann, wo die Nutzer ausschließlich das Auto-Enrollment per Wizard nutzen.

Ihr?

Content-Key: 22095174048

Url: https://administrator.de/contentid/22095174048

Printed on: May 21, 2024 at 21:05 o'clock

Member: DerWoWusste
DerWoWusste Feb 06, 2024 at 14:59:07 (UTC)
Goto Top
Es beginnt, sich aufzuklären.

Beide beteiligte Nutzer haben eines gemeinsam: sie hatten neue SmartCards bekommen (Verlust bzw. verlegt). Eine Karte davon ist wieder aufgetaucht und wenn der Kollege nun völlig gepennt hat, hat er das Zertifikat nicht weiter beachtet und sie einem anderen Kollegen gegeben. Das ist zwar schwer vorstellbar, da der Prozess genau definiert ist und auch bislang eingehalten wurde, aber danach sieht es aus.

Sprich: Nutzer A bekam bei Kartenverlust eine Karte, die mal Nutzer B gehörte und dessen Zertifikat war noch drauf!
Da der Nutzer abwesend ist, kann das erst demnächst verifiziert werden.
Das könnte doch sehr peinlich werden face-wink
Member: Snowman25
Snowman25 Feb 09, 2024 at 07:36:27 (UTC)
Goto Top
dessen Zertifikat war noch drauf!
Also macht euer Auto-Enrollment kein neues Zertifikat, sondern verlängert das vorhandene und nutzt dadurch den ursprünglichen CN aber eben mit dem neuen User als Requester?
Member: DerWoWusste
DerWoWusste Feb 09, 2024 at 08:02:20 (UTC)
Goto Top
Moin.

Unsere Einstellung ist: neues Zert löst bestehendes gültiges ab. Ist kein gültiges drauf, wird eins beantragt ("pending request") und der Admin genehmigt es. Hier war wohl (noch unbestätigt) neben dem gültigen ein Ablaufendes, an der CA revoketes drauf, was des Autorenrollmechanismus offenbar zum Anlass nimmt, nach einem neuen zu fragen.

Ich teile noch mit, wie es war.
Member: DerWoWusste
Solution DerWoWusste Feb 12, 2024 at 14:42:03 (UTC)
Goto Top
Ja, es war wie vermutet: Die Karte eines ausgeschiedenen MAs wurde weitergegeben an einen neuen MA und das Zertifikat des alten war zwar an der CA revoked worden, aber nicht von der Karte gelöscht.