Seit der Windows Server Version 2003 ist es, mit Ausnahme der Enterprise Versionen, leider nicht mehr möglich, Zertifikate nach eigenen oder duplizierten Zertifikatsvorlagen auszustellen.
Die ist besonders ärgerlich, wenn keine passende Vorlage im System hinterlegt ist. Das Problem lässt sich dadurch lösen, dass man dem System vorgaukelt, die neue Zertifikatsvorlage sei von einem Windows 2000 Server ausgestellt worden.
Im folgenden Beispiel zeige ich, wie man beispielsweie eine Vorlage Smartcard Benutzer mit exporiterbarem private key erstellt.









Achtung!!!
Eigens angelegte Zertifikatsvorlagen können ohne Weiteres leider nur von Windows Enterprise Servern ausgestellt werden. Versucht man es dennoch ohne nachzuhelfen, erhält man anstatt eines gültigen Zertifikats etwa folgende Fehlermeldung:
Der E-Mail-Name ist nicht verfügbar und kann dem Subjekt oder Subjektalternativnamen nicht hinzugefügt werden.
FQDN\CA
Verweigert vom Richtlinienmodul
Der E-Mail-Name ist nicht verfügbar und kann dem Subjekt oder Subjektalternativnamen nicht hinzugefügt werden. 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIERED)
Die angeforderte ID lautet 8.

Duplizierte Zertifikatsvorlage auf Windows Standard Server austellbar machen
Um die Zertifikatsvorlage auch auf Nicht-Enterprise-Servern ausstellen zu können, wird ein kleiner Trick angewendet. Da die Einschränkung erst seit Windows Server 2003 mit eingeführt wurde, können duplizierte Zertifikatsvorlagen für Windows Server 2000 immer noch ohne Weiteres ausgestellt werden. Im Folgenden wird der Server nun dazu gebracht, anzunehmen, die Zertifikatsvorlage sei von einem Windows Server 2000 erstellt worden. Hierzu verwenden wir den ADSI Editor (auf dem Domänencontroller).
An dieser Stelle sei nochmals darauf hingewiesen, dass die folgenden Schritte nur mit äußerster Vorsicht ausgeführt werden sollten. Fehlerhafte Einträge im ADISI Editor können eine Domäne dauerhaft beschädigen.
Für eventuell auftretende Schäden, übernehme ich keinerlei Haftung.





