Seit der Windows Server Version 2003 ist es, mit Ausnahme der Enterprise Versionen, leider nicht mehr möglich, Zertifikate nach eigenen oder duplizierten Zertifikatsvorlagen auszustellen.
Die ist besonders ärgerlich, wenn keine passende Vorlage im System hinterlegt ist. Das Problem lässt sich dadurch lösen, dass man dem System vorgaukelt, die neue Zertifikatsvorlage sei von einem Windows 2000 Server ausgestellt worden.
Im folgenden Beispiel zeige ich, wie man beispielsweie eine Vorlage Smartcard Benutzer mit exporiterbarem private key erstellt.
Rechtsklick in einen freien Bereich der Zertifikatsvorlagen -> “Verwalten” wählen.
Standard Zertifikat “Smartcard Benutzer” ohne exportierbaren private key.
Rechtsklick auf die Zertifikatsvorlage “Smartcard-Benutzer” -> “Vorlage duplizieren” wählen.
Im Tab “Anforderungsverarbeitung” den Haken bei “Exportieren von privaten Schlüsseln zulassen” setzen.
Auf Wunsch können noch weitere Einstellungen geändert werden. Unter dem Reiter “Allgemein” kann beispielsweise die Gültigkeitsdauer der Zertifikate angepasst werden.
Ist die Vorlage erstellt, kann der Name natürlich noch nachträglich über einen Rechtsklick -> “Namen ändern” geändert werden.
Demo Zertifikat wird “MySCUser” genannt.
Zurück in der “Zertifizierungsstelle” kann über einen Rechtsklick -> Neu -> Auszustellende Zertifikatsvorlage die neue Vorlage mit ausgewählt werden.
Anschließend wird die neu angelegte Vorlage “MySCUser” hinzugefügt.
Achtung!!!
Eigens angelegte Zertifikatsvorlagen können ohne Weiteres leider nur von Windows Enterprise Servern ausgestellt werden. Versucht man es dennoch ohne nachzuhelfen, erhält man anstatt eines gültigen Zertifikats etwa folgende Fehlermeldung:
Der E-Mail-Name ist nicht verfügbar und kann dem Subjekt oder Subjektalternativnamen nicht hinzugefügt werden.
FQDN\CA
Verweigert vom Richtlinienmodul
Der E-Mail-Name ist nicht verfügbar und kann dem Subjekt oder Subjektalternativnamen nicht hinzugefügt werden. 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIERED)
Die angeforderte ID lautet 8.
Fehlermeldung Zertifikatsregistrierung – duplizierte Vorlage
Duplizierte Zertifikatsvorlage auf Windows Standard Server austellbar machen
Um die Zertifikatsvorlage auch auf Nicht-Enterprise-Servern ausstellen zu können, wird ein kleiner Trick angewendet. Da die Einschränkung erst seit Windows Server 2003 mit eingeführt wurde, können duplizierte Zertifikatsvorlagen für Windows Server 2000 immer noch ohne Weiteres ausgestellt werden. Im Folgenden wird der Server nun dazu gebracht, anzunehmen, die Zertifikatsvorlage sei von einem Windows Server 2000 erstellt worden. Hierzu verwenden wir den ADSI Editor (auf dem Domänencontroller).
An dieser Stelle sei nochmals darauf hingewiesen, dass die folgenden Schritte nur mit äußerster Vorsicht ausgeführt werden sollten. Fehlerhafte Einträge im ADISI Editor können eine Domäne dauerhaft beschädigen.
Für eventuell auftretende Schäden, übernehme ich keinerlei Haftung.
Öffnen des ADSI-Editors.
Rechtsklick auf “ADSI-Editor” -> “Verbindung herstellen…” wählen.
Wählen Sie unter “Bekannten Namenskontext auswählen” -> “Konfiguration”.
Navigieren zu “Konfiguration FQDN” -> “CN=Configuration,DC=domäne,DC=local” -> “CN=Services” -> “CN=Public Key Services” -> “CN=Certifciate Templates”-> Auswählen der eigenen Zertifikatsvorlage, hier: MySCUser.
Doppelklicken auf die Vorlage. Unter “Attribute Editor” -> das Attribute “msPKI-Template-Schema-Version” auf “1” ändern und “Übernehmen”.
Ab sofort kann das Zertifikat ausgestellt werden.
