Windows Server Summit | AD-Zertifizierungsstelle

09.01.2026 Last updated : 19.01.2026 Mein Avatar für die Krähe mit Hut. Man sieht eine Krähe mit einem Doktorhut.Krähe mit Hut

Zertifizierungsstellen - einmal eingerichtet, am besten nie wieder angefasst.

Zertifizierungsstellen (CA) sind in der Tat recht statische Konstrukte und erfordern im Vorhinein eine sorgfältige Planung. Entsteht nachträglicher Anpassungsbedarf, bedeutet dies nicht selten eine komplette Neuinstallation. Und auch die Pflege einer CA ist i.d.R. nicht die Lieblingsaufgabe einer IT.

Allerdings können CAs einen wertvollen Beitrag zur Unternehmenssicherheit liefern, indem sie bspw. eine kennwortlose Authentifizierung ermöglichen! In diesem Beitrag geht es daher um Verbessserungen, die mit Windows Server 2025 Einzug halten.

CRL-Partitionierung

In großen Umgebungen mag die sogenannte Zertifikatssperrliste (Certificate Revocation List) mit der Zeit recht groß werden. Clients prüfen mithilfe der CRL die Gültigkeit eines Zertifikats, müssen diese aber dazu vollständig herunterladen.

Mit Windows Server 2025 ist es nun möglich, die CRL automatisch in kleinere Pakete aufzusplitten, so dass Clients nur den für sie relevanten Teil herunterladen müssen.

Erhöhung der maximalen Größe für Erweiterungen

Standardmäßig können Zertifikate Erweiterungen von bis zu 4 KB umfassen. Dies mag in manchen Situationen (z.B. viele SAN-Erweiterungen) jedoch nicht ausreichen, so dass es zu entsprechenden Fehlermeldungen kommt. Dieses Limit wurde nun auf 16 KB erhöht.

Erweiterung der Informationen in den Ereignisprotokollen

Bisher waren Ereignisse wie Zertifikatsanfragen und Ablehnungen im Ereignisprotokoll nur unzureichend nachvollziehbar. Dementsprechend wurden vier Ereignisse (4886-4889) um weitere Informationen wie bspw. SANs, die Zertifikatvorlage, die Authentifizierungsebene, usw. erweitert.

Empfehlungen zur Härtung einer CA

Da eine CA eine kritische Komponente der Unternehmenssicherheit darstellt, sollte diese auch entsprechend abgesichert werden. Hierfür gibt Microsoft die folgenden Empfehlungen:

  • Eingruppierung im Tier 0 (bei Einsatz des Tiering-Modells)
  • HSMs verwenden, um den privaten Schlüssel des CA-Zertifikats zu sichern
  • Unnötige Berechtigungen (Enroll, AutoEnroll) entfernen (z.B. für Gruppen wie "Authentifizierte Benutzer" und "Domänen-Benutzer")
  • Nur benötigte Zertifikatvorlagen veröffentlichen, nicht notwendige entfernen
  • Option "Supply in request" nicht global erlauben, sondern nur für ausgewählte Vorlagen/Benutzer
  • Schritte zur Härtung gegen NTLM-Relay-Attacken gegen die Webregistrierung implementieren (mit Windows Server 2025 standardmäßig aktiv)
  • Strong Certificate Mappings umsetzen (seit September 2025 verpflichtend)


Weitere Informationen

Offizielles Video: AD CS enhancements, innovations, and security - Windows Server Summit

Übersicht aller Artikel: Windows Server Summit - kurz und knackig!


Hat Dir der Beitrag gefallen? Lass es andere wissen!

Kategorien
Hybride Infrastruktur
Tags
Previous article
Windows Server Summit | Azure Migrate
09.01.2026
Next article
Windows Server Summit | Hyper-V
09.01.2026