Zertifikat-Richtlinien für Benutzer und Gruppen

Nach der Ein­richtung einer Zertifi­zierungs­stelle ohne weitere Konfi­guration stehen zunächst alle Zertifikat­typen allen dafür geeigneten Benutzern und Computern der dafür konfigurierten OU zur Verfügung und werden auf Anfor­derung auto­matisch ausge­stellt. Für bestimmte Zertifikat­typen wie etwa Basis-EFS ist das auch sinnvoll, jedoch will man für die meisten anderen Zertifikat­typen diese Berechtigungen feiner abstufen.

Dies regelt man über Berechtigungen für Zertifikatvorlagen, deren GUI analog wie die zu Datei- oder Registry-Berechtigungen aufgebaut ist. Daneben gibt es noch globale Vorgaben für die Zertifizierungsstelle, die man ändern kann.

Globale Vorgaben für Zertifizierungsstelle setzen

Eine wichtige Entscheidung beim Ausgeben von Zertifikaten ist, ob Anforderungen automatisch durch den Server beantwortet werden sollen oder der Administrator jede manuell ausstellen muss. Dies legt man in der Management-Konsole Zertifi­zierungs­stelle per Klick mit der linken Maustaste auf den Namen der Zertifi­zierungs­stelle und dem Kontextmenü-Punkt Eigenschaften fest. Die Einstellung befindet sich auf der Registerkarte Richtlinien­modul hinter der Schaltfläche Eigenschaften.

Die hier getroffene Voreinstellung können Administratoren dann für einzelne Zertifikatvorlagen jeweils anders festlegen, wenn der Auto-Modus gewählt wurde. Den manuellen Modus kann man hingegen in den Eigenschaften von Zertifikatsvorlagen nicht übergehen.

Berechtigungen für Zertifikatvorlagen setzen

Auch in den Zertifikatvorlagen selbst lassen sich die Berechtigungen für Benutzer und Gruppen definieren. In der Management-Konsole Zertifi­zierungs­stelle navigiert man hierzu zum Knoten Zertifikat­vorlagen, klickt mit der linken Maustaste darauf und wählt aus dem Kontextmenü den Menüpunkt Verwalten. Die Berechtigungen für eine Zertifikatvorlage findet man unter der Registerkarte Sicherheit.

Benutzer oder Gruppen, die Zertifikate anfordern können sollen, benötigen dazu die Rechte Lesen und Registrieren. Gewährt man zusätzlich das Recht Automatisch registrieren, bekommen entsprechende Benutzer auf ihre Anforderung die Zertifikate automatisch ausgestellt, ansonsten muss der Administrator ausstehende Anforderungen bestätigen. Achtung: Das gilt, wenn das Recht Automatisch registrieren zwar existiert, aber nicht aktiviert wurde. Trifft die Eigenschaft nicht zu, das heißt das Recht Automatisch registrieren gibt es in den Eigenschaften der Zertifikatvorlage nicht, werden Anforderungen automatisch verarbeitet, sofern die Zertifizierungsstelle insgesamt so eingerichtet wurde.

Eigene Zertifikatvorlagen erstellen

Die vom System vordefinierten Standardzertifikatvorlagen bieten weniger Optionen als selbst erstellte, man vermisst etwa das eben erwähnte Recht Automatisch registrieren. Um eine eigene, auf einer Standardzertifikatvorlage basierende Vorlage zu erstellen und zu verwenden, klickt man in der Management-Konsole der Zertifizierungsstelle mit der linken Maustaste auf Zertifikatvorlagen und wählt Verwalten.

Danach klickt man mit der linken Maustaste auf die als Schablone dienende Vorlage, wählt aus dem Kontextmenü den Punkt Doppelte Vorlage und gibt ihr einen sprechenden Namen. In der Registerkarte Abgelöste Vorlagen gibt man außerdem an, welche Vorlage durch sie ersetzt wird – dies sorgt dafür, dass Clients, die Anforderungen mit dem alten Vorlagennamen stellen, automatisch Zertifikate der neuen, sie ersetzenden Vorlage erhalten.

Das tut man natürlich nur, wenn man die Absicht hat, die alte Vorlage nicht mehr zu verwenden, nicht dann, wenn man lediglich auf deren Basis eine modifizierte Vorlage mit modifizierten Eigenschaften für andere Zwecke erstellt.

Im Knoten Zertifikatvorlagen der Zertifizierungsstelle wählt man danach aus dem Kontextmenü Neu → Auszustellende Zertifikatvorlage und aktiviert die neu erstellte Vorlage, das heißt man fügt sie zu den zur Verfügung stehenden hinzu. Anschließend löscht man gegebenenfalls per Kontextmenü-Punkt Löschen die alte, wenn man sie nicht mehr verwenden will.