Zertifizierungsstelle - Antragsteller anpassen
Hallo zusammen,
Ich hab noch wenig Erfahrung mit Zertifikaten und deren Nutzen daher wollte ich mir das Thema einmal ansehen. Ziel wäre ein Zertifikat mit dem intern Code signiert werden kann.
Das hab ich schon:
- Die bestehende Vorlage Codesignatur dupliziert und angepasst
- Die angepasste Vorlage aktiviert
Wenn ich jetzt über die MMC (Benutzerzertifikate) ein neues Zertifikat auf dieser Vorlage anfordere klappt das auch, allerdings steht im Antragsteller IMMER der Benutzeraccount mit dem ich die Anforderung erstelle.
Ich möchte aber gern ein "allgemeines Firmenzertifikat" das keine Benutzerinformationen erhält.
Im Wizard kann man bei der Vorlagenauswahl -> Details -> Eigenschaften manuell Werte für den Antragsteller eingeben, diese werden aber nie übernommen und tauchen an keiner Stelle im fertigen Zertifikat auf.
Was mach ich falsch?
Die Webschnittstelle ist übrigens nicht installiert, System ist Server 2012 R2
Danke sehr
Ich hab noch wenig Erfahrung mit Zertifikaten und deren Nutzen daher wollte ich mir das Thema einmal ansehen. Ziel wäre ein Zertifikat mit dem intern Code signiert werden kann.
Das hab ich schon:
- Die bestehende Vorlage Codesignatur dupliziert und angepasst
- Die angepasste Vorlage aktiviert
Wenn ich jetzt über die MMC (Benutzerzertifikate) ein neues Zertifikat auf dieser Vorlage anfordere klappt das auch, allerdings steht im Antragsteller IMMER der Benutzeraccount mit dem ich die Anforderung erstelle.
Ich möchte aber gern ein "allgemeines Firmenzertifikat" das keine Benutzerinformationen erhält.
Im Wizard kann man bei der Vorlagenauswahl -> Details -> Eigenschaften manuell Werte für den Antragsteller eingeben, diese werden aber nie übernommen und tauchen an keiner Stelle im fertigen Zertifikat auf.
Was mach ich falsch?
Die Webschnittstelle ist übrigens nicht installiert, System ist Server 2012 R2
Danke sehr
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 461383
Url: https://administrator.de/forum/zertifizierungsstelle-antragsteller-anpassen-461383.html
Ausgedruckt am: 22.12.2024 um 09:12 Uhr
5 Kommentare
Neuester Kommentar
Wofür ist das wichtig?
Wenn Du nur ein Zertifikat für alle betreffenden Benutzer ausstellen willst, dann muss man natürlich auch den privaten Schlüssel exportieren können, damit man das bei jedem Benutzer einzeln (bzw. genauer gesagt: in jedes seiner Benutzerprofile) importieren kann.
Im Benutzerspeicher habe ich derartiges nicht.
Bei mir erscheinen die Codesignatur-Zertifikate nach der Anforderung und Ausstellung unter "Eigene Zertifikate", wo sie auch hingehören.
Was man zentral ausrollen kann ist der öffentliche Teil dieses Zertifikats. Das geht über GPO und "Vertrauenswürdige Personen".
Wenn Du nur ein Zertifikat für alle betreffenden Benutzer ausstellen willst, dann muss man natürlich auch den privaten Schlüssel exportieren können, damit man das bei jedem Benutzer einzeln (bzw. genauer gesagt: in jedes seiner Benutzerprofile) importieren kann.
"Zertifikatsregistrierungsanforderungen"
Was/wo soll das sein? Hast Du eine englische Oberfläche? Im Deutschen kenne ich bloß "Ausstehende Anforderungen" in der Zertifizierungstelle.Im Benutzerspeicher habe ich derartiges nicht.
In der Zertifizierungsstelle des AD wird die Anforderung nun ausgestellt. Danach erscheint das Zertifikat in den Benutzerzertifikaten im Speicher "Active Directory Benutzerobjekt"
Wenn Du es im AD am Benutzerobjekt hinzufügst? Richtig, damit geht das nicht.Bei mir erscheinen die Codesignatur-Zertifikate nach der Anforderung und Ausstellung unter "Eigene Zertifikate", wo sie auch hingehören.
Ziel wäre natürlich ein einzelnes Zertifikat, das an alle Benutzer ausgerollt werden kann die Code signieren müssten.
"Ein Zertifikat für alle" kann man nicht einfach so automatisch ausrollen. Sowas geht meines Wissens nur ggf. nur per Script. Wobei das aber risikoreich wäre, weil dann im Script das Passwort für den privaten Schlüssel enthalten sein müsste.Was man zentral ausrollen kann ist der öffentliche Teil dieses Zertifikats. Das geht über GPO und "Vertrauenswürdige Personen".