Eigene / duplizierte Zertifikatsvorlage ausstellen (Windows Server ab Version 2003)

Seit der Windows Server Version 2003 ist es, mit Ausnahme der Enterprise Versionen, leider nicht mehr möglich, Zertifikate nach eigenen oder duplizierten Zertifikatsvorlagen auszustellen.

Die ist besonders ärgerlich, wenn keine passende Vorlage im System hinterlegt ist. Das Problem lässt sich dadurch lösen, dass man dem System vorgaukelt, die neue Zertifikatsvorlage sei von einem Windows 2000 Server ausgestellt worden.

Im folgenden Beispiel zeige ich, wie man beispielsweie eine Vorlage Smartcard Benutzer mit exporiterbarem private key erstellt.

Rechtsklick in einen freien Bereich der Zertifikatsvorlagen -> "Verwalten" wählen — Rechtsklick in einen freien Bereich der Zertifikatsvorlagen -> „Verwalten“ wählen.

Standard Zertifikat "Smartcard Benutzer" ohne exportierbaren Private Key — Standard Zertifikat „Smartcard Benutzer“ ohne exportierbaren private key.

Rechtsklick auf die Zertifikatsvorlage "Smartcard-Benutzer" -> "Duplizieren" wählen — Rechtsklick auf die Zertifikatsvorlage „Smartcard-Benutzer“ -> „Vorlage duplizieren“ wählen.

Im Tab "Anforderungsverarbeitung" den Haken bei "Exportieren von privaten Schlüsseln zulassen" — Im Tab „Anforderungsverarbeitung“ den Haken bei „Exportieren von privaten Schlüsseln zulassen“ setzen.

Auf Wunsch können noch weitere Einstellungen geändert werden. Unter Allgemein kann beispielsweise die Gültigkeitsdauer der Zertifikate angepasst werden. — Auf Wunsch können noch weitere Einstellungen geändert werden. Unter dem Reiter „Allgemein“ kann beispielsweise die Gültigkeitsdauer der Zertifikate angepasst werden.

Ist die Vorlage erstellt, kann der Name natürlich noch nachträglich über einen Rechtsklick -> "Namen ändern" geändert werden — Ist die Vorlage erstellt, kann der Name natürlich noch nachträglich über einen Rechtsklick -> „Namen ändern“ geändert werden.

Demo Zertifikat wird "MySCUser" genannt — Demo Zertifikat wird „MySCUser“ genannt.

Öffnen der Zertifikatsvorlagen -> Rechtsklick -> Neu -> Auszustellende Zertifikatsvorlage — Zurück in der „Zertifizierungsstelle“ kann über einen Rechtsklick -> Neu -> Auszustellende Zertifikatsvorlage die neue Vorlage mit ausgewählt werden.

Anschließend wird die neu angelegte Vorlage "MySCUser" ähnlich wie beim Enrollment Agent zu den auststellbaren Zertifikatsvorlagen hinzugefüht. — Anschließend wird die neu angelegte Vorlage „MySCUser“ hinzugefügt.

Achtung!!!

Eigens angelegte Zertifikatsvorlagen können ohne Weiteres leider nur von Windows Enterprise Servern ausgestellt werden. Versucht man es dennoch ohne nachzuhelfen, erhält man anstatt eines gültigen Zertifikats etwa folgende Fehlermeldung:

Der E-Mail-Name ist nicht verfügbar und kann dem Subjekt oder Subjektalternativnamen nicht hinzugefügt werden. FQDN\CA Verweigert vom Richtlinienmodul Der E-Mail-Name ist nicht verfügbar und kann dem Subjekt oder Subjektalternativnamen nicht hinzugefügt werden. 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIERED) Die angeforderte ID lautet 8.

Fehlermeldung Zertifikatsregistrierung - Duplizierte Vorlage — Fehlermeldung Zertifikatsregistrierung – duplizierte Vorlage

Duplizierte Zertifikatsvorlage auf Windows Standard Server austellbar machen

Um die Zertifikatsvorlage auch auf Nicht-Enterprise-Servern ausstellen zu können, wird ein kleiner Trick angewendet. Da die Einschränkung erst seit Windows Server 2003 mit eingeführt wurde, können duplizierte Zertifikatsvorlagen für Windows Server 2000 immer noch ohne Weiteres ausgestellt werden. Im Folgenden wird der Server nun dazu gebracht, anzunehmen, die Zertifikatsvorlage sei von einem Windows Server 2000 erstellt worden. Hierzu verwenden wir den ADSI Editor (auf dem Domänencontroller).

An dieser Stelle sei nochmals darauf hingewiesen, dass die folgenden Schritte nur mit äußerster Vorsicht ausgeführt werden sollten. Fehlerhafte Einträge im ADISI Editor können eine Domäne dauerhaft beschädigen.
Für eventuell auftretende Schäden, übernehme ich keinerlei Haftung.

Rechtsklick auf "ADSI-Editor" -> "Verbindung herstellen..." wählen — Rechtsklick auf „ADSI-Editor“ -> „Verbindung herstellen…“ wählen.

Wählen Sie unter "Bekannten Namenskontext auswählen" -> "Konfiguration" — Wählen Sie unter „Bekannten Namenskontext auswählen“ -> „Konfiguration“.

Navigieren zu "Konfiguration fqdn" -> "CN=Configuration,DC=domäne,DC=local" -> "CN=Services" -> "CN=Public Key Services" -> "CN=Certifciate Templates"-> Auswählen der eigenen ZErtifikatsvorlage, hier: MySCUser — Navigieren zu „Konfiguration FQDN“ -> „CN=Configuration,DC=domäne,DC=local“ -> „CN=Services“ -> „CN=Public Key Services“ -> „CN=Certifciate Templates“-> Auswählen der eigenen Zertifikatsvorlage, hier: MySCUser.

Doppelklicken auf die Vorlage, unter "Attribute Editor" -> das Attribute "msPKI-Template-Schema-Version" auf "1" ändern und "Übernehmen" — Doppelklicken auf die Vorlage. Unter „Attribute Editor“ -> das Attribute „msPKI-Template-Schema-Version“ auf „1“ ändern und „Übernehmen“.

An sofort kann das Zertifikat ausgestellt werden. — Ab sofort kann das Zertifikat ausgestellt werden.

Schreibe einen KommentarAntworten abbrechen

Hallo, ich musste zur Aktivierung die beiden Unterordner "parameters und security" mit der Methode Holzhammer freigeben, der Übergeordnete ging so.

Lange gesucht und gefriemelt, exakt der Eintrag wars! Besten Dank dafür!

Da fehlt was, wo ist denn phpmyadmin und Datenbank?

Duplizierte Zertifikatsvorlage auf Windows Standard Server austellbar machen

Tobias Wintrich

Schreibe einen KommentarAntworten abbrechen

Ähnliche Beiträge

RDP – Webcam mit Linux (Thin) Client Systemen nutzen (FreeRDP, Thincast, Rangee)

Windows Admin Center – Der Fingerabdruck des Zertifikats enthält ungültige Zeichen

Citrix Receiver (13.7 – 13.10) und Citrix Workspace Client (18.* – 19.*) für Linux frieren bei Abmelden ein