Die Reihenfolge der Relative Distinguished Names (RDNs) im Subject ausgestellter Zertifikate ändern

Die Microsoft Zertifizierungsstelle übernimmt Subjects aus Zertifikatanträgen für Vorlagen, in welchen dessen Angabe durch den Antragsteller erlaubt ist, nicht 1:1 in das ausgestellte Zertifikat.

Stattdessen ist sowohl definiert, welche Relative Distinguished Names (RDNs) erlaubt sind, als auch, in welcher Reihenfolge diese in ausgestellte Zertifikate geschrieben werden. Diese Reihenfolge kann allerdings verändert werden. Wie das gemacht wird, wird nachfolgend erläutert.

Es gibt Anwendungen, welche das Subject des ausgestellten Zertifikats mit der eingereichten Zertifikatanforderung vergleichen. Wird die Reihenfolge der Relative Distinguished Names verändert kann es sein, dass Zertifikatanforderungen fehlschlagen. Ein Beispiel hierfür ist der SSCEP Client für Linux, der unter Anderem oft in Thin Clients zum Einsatz kommt. Ebenso ist auch die Signatur von Appx Paketen betroffen.

Die aktuellen Einstellungen ermitteln

Die aktuell konfigurierte Reihenfolge kann mit folgendem Kommandozeilenbefehl auf der Zertifizierungsstelle überprüft werden:

certutil -v -getreg CA\SubjectTemplate

Die Reihenfolge ist in der Standardeinstellung wie folgt:

  • EMail
  • CommonName
  • OrganizationalUnit
  • Organization
  • Locality
  • State
  • DomainComponent
  • Country

Bedient die Zertifizierungsstelle einen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES), sind außerdem noch folgende RDNs definiert:

  • UnstructuredName
  • UnstructuredAddress
  • DeviceSerialNumber

Die Reihenfolge verändern

Bei Änderung per Copy/Paste mit dem Registrierungseditor kann es dazu kommen, dass der Registrierungswert nicht mehr lesbar ist und die Zertifizierungsstelle nicht mehr startet. In diesem Fall wird sie das Ereignis Nr. 19 protokollieren.

Die Änderung der Reihenfolge erfolgt vorzugsweise über die Kommandozeile. Hierbei werden alle Werte in einer Zeile, getrennt durch das Zeichen für den Zeilenumbruch hintereinander eingetragen.

Beispiel:

certutil -setreg CA\SubjectTemplate "EMail\nCommonName\nOrganizationalUnit\nOrganization\nLocality\nState\nDomainComponent\nCountry"

Der Zertifizierungsstellen-Dienst muss anschließend neu gestartet werden, damit die Änderungen angewendet werden.

Alternative: Neubildung des Subject bei Ausstellung des Zertifikats deaktivieren

Die Zertifizierungsstelle kann auch konfiguriert werden, die beantragten RDNs ohne Veränderung zu übernehmen. Siehe hierzu Artikel "Verwenden von undefinierten Relative Distinguished Names (RDN) in ausgestellten Zertifikaten".

Weiterführende Links: