Eigene / duplizierte Zertifikatsvorlage ausstellen (Windows Server ab Version 2003)

Öffnen des ADSI-Editors
Öffnen des ADSI-Editors

Seit der Windows Server Version 2003 ist es, mit Ausnahme der Enterprise Versionen, leider nicht mehr möglich, Zertifikate nach eigenen oder duplizierten Zertifikatsvorlagen auszustellen.

Die ist besonders ärgerlich, wenn keine passende Vorlage im System hinterlegt ist. Das Problem lässt sich dadurch lösen, dass man dem System vorgaukelt, die neue Zertifikatsvorlage sei von einem Windows 2000 Server ausgestellt worden.

Im folgenden Beispiel zeige ich, wie man beispielsweie eine Vorlage Smartcard Benutzer mit exporiterbarem private key erstellt.

Rechtsklick in einen freien Bereich der Zertifikatsvorlagen -> "Verwalten" wählen
Rechtsklick in einen freien Bereich der Zertifikatsvorlagen -> „Verwalten“ wählen.

Standard Zertifikat "Smartcard Benutzer" ohne exportierbaren Private Key
Standard Zertifikat „Smartcard Benutzer“ ohne exportierbaren private key.

Rechtsklick auf die Zertifikatsvorlage "Smartcard-Benutzer" -> "Duplizieren" wählen
Rechtsklick auf die Zertifikatsvorlage „Smartcard-Benutzer“ -> „Vorlage duplizieren“ wählen.

Im Tab "Anforderungsverarbeitung" den Haken bei "Exportieren von privaten Schlüsseln zulassen"
Im Tab „Anforderungsverarbeitung“ den Haken bei „Exportieren von privaten Schlüsseln zulassen“ setzen.

Auf Wunsch können noch weitere Einstellungen geändert werden. Unter Allgemein kann beispielsweise die Gültigkeitsdauer der Zertifikate angepasst werden.
Auf Wunsch können noch weitere Einstellungen geändert werden. Unter dem Reiter „Allgemein“ kann beispielsweise die Gültigkeitsdauer der Zertifikate angepasst werden.

Ist die Vorlage erstellt, kann der Name natürlich noch nachträglich über einen Rechtsklick -> "Namen ändern" geändert werden
Ist die Vorlage erstellt, kann der Name natürlich noch nachträglich über einen Rechtsklick -> „Namen ändern“ geändert werden.

Demo Zertifikat wird "MySCUser" genannt
Demo Zertifikat wird „MySCUser“ genannt.

Öffnen der Zertifikatsvorlagen -> Rechtsklick -> Neu -> Auszustellende Zertifikatsvorlage
Zurück in der „Zertifizierungsstelle“ kann über einen Rechtsklick -> Neu -> Auszustellende Zertifikatsvorlage die neue Vorlage mit ausgewählt werden.

Anschließend wird die neu angelegte Vorlage "MySCUser" ähnlich wie beim Enrollment Agent zu den auststellbaren Zertifikatsvorlagen hinzugefüht.
Anschließend wird die neu angelegte Vorlage „MySCUser“ hinzugefügt.

Achtung!!!

Eigens angelegte Zertifikatsvorlagen können ohne Weiteres leider nur von Windows Enterprise Servern ausgestellt werden. Versucht man es dennoch ohne nachzuhelfen, erhält man anstatt eines gültigen Zertifikats etwa folgende Fehlermeldung:

Der E-Mail-Name ist nicht verfügbar und kann dem Subjekt oder Subjektalternativnamen nicht hinzugefügt werden.
FQDN\CA
Verweigert vom Richtlinienmodul
Der E-Mail-Name ist nicht verfügbar und kann dem Subjekt oder Subjektalternativnamen nicht hinzugefügt werden. 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIERED)
Die angeforderte ID lautet 8.

Fehlermeldung Zertifikatsregistrierung - Duplizierte Vorlage
Fehlermeldung Zertifikatsregistrierung – duplizierte Vorlage

Duplizierte Zertifikatsvorlage auf Windows Standard Server austellbar machen

Um die Zertifikatsvorlage auch auf Nicht-Enterprise-Servern ausstellen zu können, wird ein kleiner Trick angewendet. Da die Einschränkung erst seit Windows Server 2003 mit eingeführt wurde, können duplizierte Zertifikatsvorlagen für Windows Server 2000 immer noch ohne Weiteres ausgestellt werden. Im Folgenden wird der Server nun dazu gebracht, anzunehmen, die Zertifikatsvorlage sei von einem Windows Server 2000 erstellt worden. Hierzu verwenden wir den ADSI Editor (auf dem Domänencontroller).

An dieser Stelle sei nochmals darauf hingewiesen, dass die folgenden Schritte nur mit äußerster Vorsicht ausgeführt werden sollten. Fehlerhafte Einträge im ADISI Editor können eine Domäne dauerhaft beschädigen.
Für eventuell auftretende Schäden, übernehme ich keinerlei Haftung.

Öffnen des ADSI-Editors
Öffnen des ADSI-Editors.

Rechtsklick auf "ADSI-Editor" -> "Verbindung herstellen..." wählen
Rechtsklick auf „ADSI-Editor“ -> „Verbindung herstellen…“ wählen.

Wählen Sie unter "Bekannten Namenskontext auswählen" -> "Konfiguration"
Wählen Sie unter „Bekannten Namenskontext auswählen“ -> „Konfiguration“.

Navigieren zu "Konfiguration fqdn" -> "CN=Configuration,DC=domäne,DC=local" -> "CN=Services" -> "CN=Public Key Services" -> "CN=Certifciate Templates"-> Auswählen der eigenen ZErtifikatsvorlage, hier: MySCUser
Navigieren zu „Konfiguration FQDN“ -> „CN=Configuration,DC=domäne,DC=local“ -> „CN=Services“ -> „CN=Public Key Services“ -> „CN=Certifciate Templates“-> Auswählen der eigenen Zertifikatsvorlage, hier: MySCUser.

Doppelklicken auf die Vorlage, unter "Attribute Editor" -> das Attribute "msPKI-Template-Schema-Version" auf "1" ändern und "Übernehmen"
Doppelklicken auf die Vorlage. Unter „Attribute Editor“ -> das Attribute „msPKI-Template-Schema-Version“ auf „1“ ändern und „Übernehmen“.

An sofort kann das Zertifikat ausgestellt werden.
Ab sofort kann das Zertifikat ausgestellt werden.
Schlagwörter
Tobias Wintrich

Tobias Wintrich

Fachinformatiker/Systemintegration
Bäcker aus Leidenschaft

Artikel: 31

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Ähnliche Beiträge