Tags: Windows 7, Sicherheit
Nach der Einrichtung einer Zertifizierungsstelle
ohne weitere Konfiguration stehen zunächst alle Zertifikattypen allen dafür geeigneten Benutzern und Computern der dafür konfigurierten OU zur Verfügung und werden auf Anforderung automatisch ausgestellt. Für bestimmte Zertifikattypen wie etwa Basis-EFS ist das auch sinnvoll, jedoch will man für die meisten anderen Zertifikattypen diese Berechtigungen feiner abstufen.
Dies regelt man über Berechtigungen für Zertifikatvorlagen, deren GUI analog wie die zu Datei- oder Registry-Berechtigungen aufgebaut ist. Daneben gibt es noch globale Vorgaben für die Zertifizierungsstelle, die man ändern kann.
Globale Vorgaben für Zertifizierungsstelle setzen
Eine wichtige Entscheidung beim Ausgeben von Zertifikaten ist, ob Anforderungen automatisch durch den Server beantwortet werden sollen oder der Administrator jede manuell ausstellen muss. Dies legt man in der Management-Konsole
Zertifizierungsstelle per Klick mit der linken Maustaste auf den Namen der Zertifizierungsstelle und dem Kontextmenü-Punkt Eigenschaften fest. Die Einstellung befindet sich auf der Registerkarte Richtlinienmodul hinter der Schaltfläche Eigenschaften.
Die hier getroffene Voreinstellung können Administratoren dann für einzelne Zertifikatvorlagen jeweils anders festlegen, wenn der Auto-Modus gewählt wurde. Den manuellen Modus kann man hingegen in den Eigenschaften von Zertifikatsvorlagen nicht übergehen.
Berechtigungen für Zertifikatvorlagen setzen
Auch in den Zertifikatvorlagen selbst lassen sich die Berechtigungen für Benutzer und Gruppen definieren. In der Management-Konsole Zertifizierungsstelle
navigiert man hierzu zum Knoten Zertifikatvorlagen, klickt mit der linken Maustaste darauf und wählt aus dem Kontextmenü den Menüpunkt Verwalten. Die Berechtigungen für eine Zertifikatvorlage findet man unter der Registerkarte Sicherheit.
Benutzer oder Gruppen, die Zertifikate anfordern können sollen, benötigen dazu die Rechte Lesen und Registrieren. Gewährt man zusätzlich das Recht Automatisch registrieren, bekommen entsprechende Benutzer auf ihre Anforderung die Zertifikate automatisch ausgestellt, ansonsten muss der Administrator ausstehende Anforderungen bestätigen. Achtung: Das gilt, wenn das Recht Automatisch registrieren zwar existiert, aber nicht aktiviert wurde. Trifft die Eigenschaft nicht zu, das heißt das Recht Automatisch registrieren gibt es in den Eigenschaften der Zertifikatvorlage nicht, werden Anforderungen automatisch verarbeitet, sofern die Zertifizierungsstelle insgesamt so eingerichtet wurde.
Eigene Zertifikatvorlagen erstellen
Die vom System vordefinierten Standardzertifikatvorlagen bieten weniger Optionen als selbst erstellte, man vermisst etwa das eben erwähnte Recht Automatisch registrieren. Um eine eigene, auf einer Standardzertifikatvorlage basierende Vorlage zu erstellen und zu verwenden, klickt man in der Management-Konsole der Zertifizierungsstelle mit der linken Maustaste auf Zertifikatvorlagen und wählt Verwalten.
Danach klickt man mit der linken Maustaste auf die als Schablone dienende Vorlage, wählt aus dem Kontextmenü den Punkt Doppelte Vorlage und gibt ihr einen sprechenden Namen. In der Registerkarte Abgelöste Vorlagen gibt man außerdem an, welche Vorlage durch sie ersetzt wird – dies sorgt dafür, dass Clients, die Anforderungen mit dem alten Vorlagennamen stellen, automatisch Zertifikate der neuen, sie ersetzenden Vorlage erhalten.
Das tut man natürlich nur, wenn man die Absicht hat, die alte Vorlage nicht mehr zu verwenden, nicht dann, wenn man lediglich auf deren Basis eine modifizierte Vorlage mit modifizierten Eigenschaften für andere Zwecke erstellt.
Im Knoten Zertifikatvorlagen der Zertifizierungsstelle wählt man danach aus dem Kontextmenü Neu → Auszustellende Zertifikatvorlage und aktiviert die neu erstellte Vorlage, das heißt man fügt sie zu den zur Verfügung stehenden hinzu. Anschließend löscht man gegebenenfalls per Kontextmenü-Punkt
Löschen die alte, wenn man sie nicht mehr verwenden will.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Microsoft öffnet verlängerten Support für Windows 7 auch für kleinere Firmen
- Erweiterter Support für Windows 7 bis 2023: Kosten pro Gerät verdoppeln sich jährlich
- Praxis: Die Schadsoftware WannaCry erkennen und abwehren
- Updates für Windows 7 und 8.1: Security-Fixes, Rollups und Rollup-Previews in jedem Monat
- Rollup: Microsoft bringt kumulatives Update für Windows 7 SP1
Weitere Links