Active Directory-Zertifizierungsstelle - zusätzliche Antragstellerinformationen hinterlegen
Krähe mit HutEin Kunde kam auf mich zu und fragte, ob es möglich sei, in seiner Zertifizierungsstelle zusätzliche Informationen zu hinterlegen. Im Detail sollten Unternehmensinformationen wie Name und Adresse hinterlegt werden. Dann müssten diese nicht immer manuell bei Beantragung eines Zertifikats eingegeben werden. Dies war dazu gedacht, die Vertrauenswürdigkeit von Zertifikaten intern zu steigern.
Während diese Informationen technisch keinen Mehrwert bieten, so können sie organisatorisch gesehen durchaus Sinn machen. Auch die Betreiber öffentlicher Zertifizierungsstellen (z.B. COMODO, DigiCert und GlobalSign) verwenden erweiterte Ausstellerinformationen.
Welche Informationsfelder gibt es?
In einem Zertifikat können grundsätzlich die folgenden Informationen hinterlegt werden - welche davon verwendet werden hängt auch vom Verwendungszweck des Zertifikats ab:
- Voller DN (kanonischer Name/Distinguished Name)
- Allgemeiner Name
- Land
- Domänenkomponente
- Vor-/Nachname, Initialen, Titel (für Benutzerzertifikate)
- Unternehmensdaten, z.B. Organisation, Organisationseinheit,
- Adressdaten, z.B. Straße, Stadt, Bundesland, Land
In einem zu beantragenden Zertifikat können diese Informationen bei Bedarf manuell eingetragen werden. Dies ist jedoch nur bei manueller Beantragung/Ausstellung sinnvoll. Für größere und automatisierte Szenarien ist es sinnvoll, die Informationen standardmäßig in der Zertifizierungsstelle selbst zu hinterlegen.
Kann man die Informationen in der Zertifizierungsstelle hinterlegen?
Hier gibt es eine gute und eine schlechte Nachricht.
Die gute: ja, es ist möglich.
Die schlechte: die Informationen müssen bereits bei der Installation der Zertifizierungsstelle hinterlegt werden. Nachträglich ist dies nicht mehr möglich.
In Organisationen, die bereits seit längerem eine Zertifizierungsstelle betreiben, dürfte es nicht so einfach möglich sein, eine neue Zertifizierungsstelle aufzubauen. Es stellt sich dann auch die Frage nach dem echten Mehrwert der zusätzlichen Informationen. Schade ist, dass Microsoft keine Beispielwerte im Server-Manager bereitstellt. Zwar ist im Installationsassistenten ein entsprechendes Feld vorhanden, dieses ist jedoch leer.
Wie funktioniert es?
Die zusätzlichen Informationen können sowohl im Installationsassistenten des Server-Managers als auch über PowerShell angegeben werden. Diese müssen ein bestimmtes Format verwenden:
| Kennzeichen | Bedeutung | Beispiel |
|---|---|---|
| O | Organisation | O=Contoso Inc. |
| L | Stadt | L=Redmond |
| S | Bundesland | S=Washington |
| C | Land | C=US |
| E | E=postmaster@contoso.com | |
| Street | Straße | Street=One Microsoft Way |
Server-Manager:
PowerShell:
# Zertifizierungsstelle mit zusätzlichen Antragsteller-Informationen installieren (Beispiel: Stammzertifizierungsstelle)
Install-AdcsCertificationAuthority -CAType StandaloneRootCA -KeyLength 8192`
-HashAlgorithm SHA512 -CryptoProviderName 'RSA#Microsoft Software Key Storage Provider'`
-CACommonName 'Contoso ROOT CA' -CADistinguishedNameSuffix 'O=Contoso Inc.,L=Redmond,S=Washington,C=US,E=postmaster@contoso.com,Street=One Redmond Way'`
-ValidityPeriod Years -ValidityPeriodUnits 21 -DatabaseDirectory 'C:\WINDOWS\system32\certlog'`
-LogDirectory 'C:\WINDOWS\system32\certlog'Diese Vorgehensweise ist auch für untergeordnete Zertifizierungsstellen gültig.
Nach der Installation sind dann die zusätzlichen Informationen im Zertifizierungsstellen-Zertifikat enthalten. Diese bleiben im Übrigen auch bei einer Erneuerung des Zertifikats erhalten, es sind keine speziellen Aktionen erforderlich, um die Daten zu übernehmen.
Gefällt Dir der Beitrag? Lass es andere wissen!
