bitboy
Goto Top

Zertifizierungsstelle - Antragsteller anpassen

Hallo zusammen,

Ich hab noch wenig Erfahrung mit Zertifikaten und deren Nutzen daher wollte ich mir das Thema einmal ansehen. Ziel wäre ein Zertifikat mit dem intern Code signiert werden kann.

Das hab ich schon:
- Die bestehende Vorlage Codesignatur dupliziert und angepasst
- Die angepasste Vorlage aktiviert

Wenn ich jetzt über die MMC (Benutzerzertifikate) ein neues Zertifikat auf dieser Vorlage anfordere klappt das auch, allerdings steht im Antragsteller IMMER der Benutzeraccount mit dem ich die Anforderung erstelle.
Ich möchte aber gern ein "allgemeines Firmenzertifikat" das keine Benutzerinformationen erhält.
Im Wizard kann man bei der Vorlagenauswahl -> Details -> Eigenschaften manuell Werte für den Antragsteller eingeben, diese werden aber nie übernommen und tauchen an keiner Stelle im fertigen Zertifikat auf.

Was mach ich falsch?
Die Webschnittstelle ist übrigens nicht installiert, System ist Server 2012 R2

Danke sehr

Content-ID: 461383

Url: https://administrator.de/forum/zertifizierungsstelle-antragsteller-anpassen-461383.html

Ausgedruckt am: 22.12.2024 um 09:12 Uhr

emeriks
Lösung emeriks 12.06.2019 aktualisiert um 13:14:41 Uhr
Goto Top
Hi,
schau mal in der Vorlagenverwaltung in die Eigenschaften der Vorlage. Dort gibt einen Reiter "Anstragstellername". Und dort kann man auswählen, dass die Informationen in der Anforderung angegeben, statt aus dem AD ausgelesen werden.

E.
Bitboy
Bitboy 12.06.2019 um 13:32:56 Uhr
Goto Top
Ja Danke sehr... hatte es gerade auch gefunden. Wenn mandie Option umstellt wird man auch groß und breit darauf hingewiesen, dass man die Angaben manuell machen muss. Schade das man im umgekehrten Fall keinen Hinweis erhält, das man die gar nicht ändern kann.

Der Sicherheit zuliebe sollte dann noch unter den Ausstellungsvorraussetzungen die Genehmigung aktiviert werden.
Bitboy
Bitboy 12.06.2019 um 15:38:51 Uhr
Goto Top
So und da bin ich schon wieder :/ wie gut das mans mal übt, so einfach gehts gar nicht.

Bin immer noch an der Codesignierung.
Dafür ist anscheinend wichtig, dass der private Schlüssel exportiert werden kann.
Ok, das hab ich in der Zertifikatvorlage so eingestellt und bei der Zertifikatanforderung auch die Option so angehakt.

Nach der Anfrage ist das Zertifikat erstmal im Speicher "Zertifikatsregistrierungsanforderungen". Dieses lässt sich exportieren und man kann dabei auswählen ob man den Schlüssel mit exportieren möchte.

In der Zertifizierungsstelle des AD wird die Anforderung nun ausgestellt. Danach erscheint das Zertifikat in den Benutzerzertifikaten im Speicher "Active Directory Benutzerobjekt" Für dieses besitze ich anscheinend keinen privaten Schlüssel mehr und kanns demnach nicht exportieren oder fürs signieren von Code verwenden.

Ziel wäre natürlich ein einzelnes Zertifikat, das an alle Benutzer ausgerollt werden kann die Code signieren müssten.
emeriks
emeriks 12.06.2019 um 16:07:57 Uhr
Goto Top
Zitat von @Bitboy:
Dafür ist anscheinend wichtig, dass der private Schlüssel exportiert werden kann.
Wofür ist das wichtig?

Wenn Du nur ein Zertifikat für alle betreffenden Benutzer ausstellen willst, dann muss man natürlich auch den privaten Schlüssel exportieren können, damit man das bei jedem Benutzer einzeln (bzw. genauer gesagt: in jedes seiner Benutzerprofile) importieren kann.

"Zertifikatsregistrierungsanforderungen"
Was/wo soll das sein? Hast Du eine englische Oberfläche? Im Deutschen kenne ich bloß "Ausstehende Anforderungen" in der Zertifizierungstelle.
Im Benutzerspeicher habe ich derartiges nicht.

In der Zertifizierungsstelle des AD wird die Anforderung nun ausgestellt. Danach erscheint das Zertifikat in den Benutzerzertifikaten im Speicher "Active Directory Benutzerobjekt"
Wenn Du es im AD am Benutzerobjekt hinzufügst? Richtig, damit geht das nicht.

Bei mir erscheinen die Codesignatur-Zertifikate nach der Anforderung und Ausstellung unter "Eigene Zertifikate", wo sie auch hingehören.

Ziel wäre natürlich ein einzelnes Zertifikat, das an alle Benutzer ausgerollt werden kann die Code signieren müssten.
"Ein Zertifikat für alle" kann man nicht einfach so automatisch ausrollen. Sowas geht meines Wissens nur ggf. nur per Script. Wobei das aber risikoreich wäre, weil dann im Script das Passwort für den privaten Schlüssel enthalten sein müsste.

Was man zentral ausrollen kann ist der öffentliche Teil dieses Zertifikats. Das geht über GPO und "Vertrauenswürdige Personen".
Bitboy
Bitboy 12.06.2019 um 16:59:39 Uhr
Goto Top
Vorweg: Das Problem wird anscheinend dadurch verursacht, dass die Zertifikatsanforderung genehmigt werden muss.
Sobald die Option deaktiviert ist klappt der ganze Prozess.

Bei automatischer Genehmigung wird das fertige Zertifikat automatisch in den Container "Eigene Zertifikate" geschoben UND aus dem Container "Zertifikatsregistrierungsanforderungen" gelöscht. (JUHU)
Aber sobald die Option zum Genehmigen aktiv ist bleibt das Zertifikat entweder im Container "Zertifikatsregistrierungsanforderungen" stecken oder es wird ein Zertifikat im Container "Active Directory Benutzerobjekt" erstellt, dem dann allerdings der private Schlüssel fehlt. Im Moment hab ichs jedenfalls hinbekommen, dass es nur noch stecken bleibt, sonst hätt ich von dem anderen auch mal ein Screenshot gemacht.

zertifikate


Kennt jemand das Problem? Im Moment werd ich nicht weiter danach schauen, ich brauch ja nur eines, ist halt blöd weil Microsoft selbst empfiehlt die Option zum genehmigen zu setzen wenn man möchte, dass der Antragsteller frei gewählt werden kann.