Zertifikatvorlagen in der Windows-PKI verwalten

    ZertifikatvorlagenkonsoleSobald man die Rolle Zertifikatdienste auf einem Windows-Server installiert hat, stehen vorinstallierte Standard-Zertifikatvorlagen zur Verfügung, auf denen basierend die Clients Zertifikate anfordern können. Diese decken typische Szenarien ab, Administratoren haben jedoch oft differenziertere Anforderungen an die Vorlagen. Dann modifiziert man die Vorlagen oder erstellt auf ihrer Basis neue für die Organisation.

    3 Versionen von Zertifikatvorlagen: Windows 2000, Windows Server 2003, Windows Server 2008

    Hier verwaltet man alle ZertifikatvorlagenAn die die Zertifikatvorlagenkonsole gelangt man – sofern man sich nicht selbst eine angepasste Konsole für die Zertifikatverwaltung zusammengestellt hat – indem man in der Management-Konsole Zertifizierungsstelle mit der rechten Maustaste auf dem Knoten Zertifikatvorlagen klickt und dort den Menüpunkt Verwalten wählt. Klickt man hier doppelt auf eine der Zertifikatvorlagen, bearbeitet man dadurch deren Eigenschaften, was je nach Version mehr oder weniger möglich ist:

    • Zertifikatvorlagen, die mit Windows-2000-Zertifizierungsstellen kompatibel sind, lassen sich gar nicht bearbeiten, nur deren Eigenschaften einsehen.
    • Mindestens eine Windows-Server-2003-Zertifizierungsstelle erfordernde Zertifikatvorlagen lassen sich bearbeiten, wenn auch nicht in allen Eigenschaften.
    • Die meisten veränderbaren Optionen bieten Zertifikatvorlagen, die mindestens eine Windows-Server-2008-Zertifizierungsstelle benötigen.

    Windows-Server-2008-Zertifikatsvorlagen haben den anderen auch sonst einige interessante Eigenschaften voraus: Neben der Unterstützung für neue Kryptografie-Provider ist dies vor allem eine Einstellung die es erlaubt, zusätzlichen Dienstkonten Zugriff auf private Schlüssel von anfordernden Clients zu gewähren. Gemeint sind damit Netzwerk-Dienstkonten, um Dienste zu unterstützen, welche in diesem Kontext laufen.

    Eigene Zertifikatvorlagen erstellen und verteilen

    Für eigene Zertifikatvorlagen wählt man zunächst die Mindest-Version der ZertifizierungsstelleDen Namen kann man bei keiner der Standard-Zertifikatvorlagen ändern. Will man dies oder auch andere, in den Standard-Zertifikatvorlagen gesperrte Eigenschaften an seine Organisation anpassen, so muss man eigene Vorlagen aus Basis der bestehenden erstellen. Dazu klickt man mit der rechten Maustaste auf eine bereits bestehende Zertifikatvorlage und wählt aus dem Kontextmenü Doppelte Vorlage.

    Hier wird man zunächst nach der Windows-Server-Version für die Zertifizierungsstelle gefragt, welche als Minimum für die neue Vorlage erforderlich sein soll. Windows 2000 entfällt – die Bearbeitung von Zertifikatvorlagen ist für diese Version nicht vorgesehen. Es bleibt die Wahl zwischen Windows Server 2003 und Windows Server 2008 – letztere bietet wie oben erwähnt die größere Freiheit.

    Für das Active Directory aktivieren muss man neue Zertifikatvorlagen jeweils in einem weiteren ArbeitsschrittNach der Auswahl Doppelte Vorlage benennt man die neue Zertifikatvorlage, legt die gewünschten Eigenschaften fest und definiert die Berechtigungen für ihre Verwendung. Im Active Directory zur Verfügung stehen die durch den Enterprise-Administrator definierten Zertifikatvorlagen dadurch noch nicht, sie müssen zunächst aktiviert werden.

    Dies erledigt man in der Management-Konsole Zertifizierungsstelle, indem man mit der rechten Maustaste auf den Knoten Zertifikatvorlagen klickt und aus dem Kontextmenü Neu → Auszustellende Zertifikatvorlage wählt. Hier findet man alle Vorlagen inklusive der selbst definierten. Will man gleich mehrere aktivieren, markiert man sie mit gedrückter ‹Strg›-Taste, bevor man OK klickt.

    Deaktivieren kann man Zertifikatvorlagen direkt in der Management-Konsole Zertifizierungsstelle unter dem Knoten Zertifikatvorlagen. Dazu klickt man mit der rechten Maustaste auf ein Zertifikat und wählt aus dem Kontextmenü Löschen. Es steht dann nicht mehr im Active Directory zur Verfügung. Wirklich aus dem Vorlagen-Pool entfernt ist es jedoch erst, wenn man diese Operation danach noch einmal in der Zertifikatvorlagenkonsole wiederholt. Möglich ist dies nur für selbst definierte, nicht für die vorinstallierten Standard-Zertifikatvorlagen.

    Keine Kommentare