Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Zertifizierungsstelle - Antragsteller anpassen

Mitglied: Bitboy

Bitboy (Level 1) - Jetzt verbinden

12.06.2019, aktualisiert 12:38 Uhr, 228 Aufrufe, 5 Kommentare

Hallo zusammen,

Ich hab noch wenig Erfahrung mit Zertifikaten und deren Nutzen daher wollte ich mir das Thema einmal ansehen. Ziel wäre ein Zertifikat mit dem intern Code signiert werden kann.

Das hab ich schon:
- Die bestehende Vorlage Codesignatur dupliziert und angepasst
- Die angepasste Vorlage aktiviert

Wenn ich jetzt über die MMC (Benutzerzertifikate) ein neues Zertifikat auf dieser Vorlage anfordere klappt das auch, allerdings steht im Antragsteller IMMER der Benutzeraccount mit dem ich die Anforderung erstelle.
Ich möchte aber gern ein "allgemeines Firmenzertifikat" das keine Benutzerinformationen erhält.
Im Wizard kann man bei der Vorlagenauswahl -> Details -> Eigenschaften manuell Werte für den Antragsteller eingeben, diese werden aber nie übernommen und tauchen an keiner Stelle im fertigen Zertifikat auf.

Was mach ich falsch?
Die Webschnittstelle ist übrigens nicht installiert, System ist Server 2012 R2

Danke sehr
Mitglied: emeriks
LÖSUNG 12.06.2019, aktualisiert um 13:14 Uhr
Hi,
schau mal in der Vorlagenverwaltung in die Eigenschaften der Vorlage. Dort gibt einen Reiter "Anstragstellername". Und dort kann man auswählen, dass die Informationen in der Anforderung angegeben, statt aus dem AD ausgelesen werden.

E.
Bitte warten ..
Mitglied: Bitboy
12.06.2019 um 13:32 Uhr
Ja Danke sehr... hatte es gerade auch gefunden. Wenn mandie Option umstellt wird man auch groß und breit darauf hingewiesen, dass man die Angaben manuell machen muss. Schade das man im umgekehrten Fall keinen Hinweis erhält, das man die gar nicht ändern kann.

Der Sicherheit zuliebe sollte dann noch unter den Ausstellungsvorraussetzungen die Genehmigung aktiviert werden.
Bitte warten ..
Mitglied: Bitboy
12.06.2019 um 15:38 Uhr
So und da bin ich schon wieder :/ wie gut das mans mal übt, so einfach gehts gar nicht.

Bin immer noch an der Codesignierung.
Dafür ist anscheinend wichtig, dass der private Schlüssel exportiert werden kann.
Ok, das hab ich in der Zertifikatvorlage so eingestellt und bei der Zertifikatanforderung auch die Option so angehakt.

Nach der Anfrage ist das Zertifikat erstmal im Speicher "Zertifikatsregistrierungsanforderungen". Dieses lässt sich exportieren und man kann dabei auswählen ob man den Schlüssel mit exportieren möchte.

In der Zertifizierungsstelle des AD wird die Anforderung nun ausgestellt. Danach erscheint das Zertifikat in den Benutzerzertifikaten im Speicher "Active Directory Benutzerobjekt" Für dieses besitze ich anscheinend keinen privaten Schlüssel mehr und kanns demnach nicht exportieren oder fürs signieren von Code verwenden.

Ziel wäre natürlich ein einzelnes Zertifikat, das an alle Benutzer ausgerollt werden kann die Code signieren müssten.
Bitte warten ..
Mitglied: emeriks
12.06.2019 um 16:07 Uhr
Zitat von Bitboy:
Dafür ist anscheinend wichtig, dass der private Schlüssel exportiert werden kann.
Wofür ist das wichtig?

Wenn Du nur ein Zertifikat für alle betreffenden Benutzer ausstellen willst, dann muss man natürlich auch den privaten Schlüssel exportieren können, damit man das bei jedem Benutzer einzeln (bzw. genauer gesagt: in jedes seiner Benutzerprofile) importieren kann.

"Zertifikatsregistrierungsanforderungen"
Was/wo soll das sein? Hast Du eine englische Oberfläche? Im Deutschen kenne ich bloß "Ausstehende Anforderungen" in der Zertifizierungstelle.
Im Benutzerspeicher habe ich derartiges nicht.

In der Zertifizierungsstelle des AD wird die Anforderung nun ausgestellt. Danach erscheint das Zertifikat in den Benutzerzertifikaten im Speicher "Active Directory Benutzerobjekt"
Wenn Du es im AD am Benutzerobjekt hinzufügst? Richtig, damit geht das nicht.

Bei mir erscheinen die Codesignatur-Zertifikate nach der Anforderung und Ausstellung unter "Eigene Zertifikate", wo sie auch hingehören.

Ziel wäre natürlich ein einzelnes Zertifikat, das an alle Benutzer ausgerollt werden kann die Code signieren müssten.
"Ein Zertifikat für alle" kann man nicht einfach so automatisch ausrollen. Sowas geht meines Wissens nur ggf. nur per Script. Wobei das aber risikoreich wäre, weil dann im Script das Passwort für den privaten Schlüssel enthalten sein müsste.

Was man zentral ausrollen kann ist der öffentliche Teil dieses Zertifikats. Das geht über GPO und "Vertrauenswürdige Personen".
Bitte warten ..
Mitglied: Bitboy
12.06.2019 um 16:59 Uhr
Vorweg: Das Problem wird anscheinend dadurch verursacht, dass die Zertifikatsanforderung genehmigt werden muss.
Sobald die Option deaktiviert ist klappt der ganze Prozess.

Bei automatischer Genehmigung wird das fertige Zertifikat automatisch in den Container "Eigene Zertifikate" geschoben UND aus dem Container "Zertifikatsregistrierungsanforderungen" gelöscht. (JUHU)
Aber sobald die Option zum Genehmigen aktiv ist bleibt das Zertifikat entweder im Container "Zertifikatsregistrierungsanforderungen" stecken oder es wird ein Zertifikat im Container "Active Directory Benutzerobjekt" erstellt, dem dann allerdings der private Schlüssel fehlt. Im Moment hab ichs jedenfalls hinbekommen, dass es nur noch stecken bleibt, sonst hätt ich von dem anderen auch mal ein Screenshot gemacht.

zertifikate - Klicke auf das Bild, um es zu vergrößern


Kennt jemand das Problem? Im Moment werd ich nicht weiter danach schauen, ich brauch ja nur eines, ist halt blöd weil Microsoft selbst empfiehlt die Option zum genehmigen zu setzen wenn man möchte, dass der Antragsteller frei gewählt werden kann.
Bitte warten ..
Neue Wissensbeiträge
LAN, WAN, Wireless
Sophos RED50 stürzt ab und ist danach tot
Information von Ex0r2k16 vor 2 TagenLAN, WAN, Wireless

Hey, nach meinem Thread bin ich durch Zufall auf das hier gestoßen: Also wenn ihr UTMs und RED50's im ...

Windows 10

Microsoft macht Bluetooth absichtlich kaputt: Windows 10 Update blockiert Bluetooth-Verbindungen zu Android

Tipp von 1Werner1 vor 2 TagenWindows 107 Kommentare

Moin, jetzt spinnt MS total , was muss ich da auf Chip.de lesen: Auch im Juni schließt Microsoft im ...

Soziale Netzwerke

Facebook - künftig ohne Account des Bundeslandes Sachsen-Anhalt

Information von VGem-e vor 3 TagenSoziale Netzwerke3 Kommentare

Servus, mal sehen, ob andere öffentliche Einrichtungen folgen wollen/können Gruß

Humor (lol)
Facebook Mailer auf NIX-Spamlist
Information von Henere vor 3 TagenHumor (lol)

Eben aus dem Log meines Postfix gefischt. Recht haben Sie. FB ist SPAM :-) lachende Grüße, Henere

Heiß diskutierte Inhalte
Router & Routing
Synology NAS in anderem Subnetz nicht erreichbar
Frage von Tech1KonniRouter & Routing24 Kommentare

Hallo Leute, ich bin Software-Entwickler und daher auch etwas bewandert in den Grundkenntnissen der Netzwerktechnik. Aktuell habe ich allerdings ...

Netzwerke
Zugriff auf mehrere Clients via RDP
Frage von xXMariusXxNetzwerke11 Kommentare

Moin, ich würde gerne auf mehrere Clients in einem Netzwerk via RDP zugreifen. Gibt es eine elegantere Lösung als ...

Windows 7
RDP funktioniert nur einmal
Frage von Sc0rc3dWindows 710 Kommentare

Hi, ich arbeite mittels Remote Desktop von zu Hause. Manchmal per VPN und manchmal direkt (Portfreigabe 3389 -> 46XXX). ...

Windows Server
Probleme Installation Windows Server 2019
Frage von AK-47.2Windows Server7 Kommentare

Hallo zusammen, ich habe das Problem einen Windows Server 2019 auf ein Testsystem zu bringen. Das Mainboard ist ein ...