Automatische Erneuerung manuell beantragter Zertifikate ohne Eingriff eines Zertifikatmanagers

Angenommen, man setzt einen Use Case für Zertifikate ein, bei denen die Benutzer die im Zertifikat enthaltene Identität in der Zertifikatanforderung angeben, und hierdurch ein manuelles Eingreifen der Zertifikatmanager erfolgen muss, stellt sich die Frage, wie bei Ablauf der Zertifikate oder Umzug der Zertifikatvorlage auf eine andere Zertifizierungsstelle vorgegangen werden kann, um Tickets beim Helpdesk und damit die entstehende Arbeit für die Zertifikatmanager auf ein Minimum reduzieren zu können.

Beide Methoden funktionieren auch mit Wechsel der ausstellenden Zertifizierungsstelle, d.h. dass die erneuertern Zertifikate von einer anderen Zertifizierungsstelle ausgestellt werden, als die bisherigen. Voraussetzung ist lediglich, dass es beide Zertifizierungsstellen Mitglieder der gleichen Active Directory Gesamtstruktur sind.

Die Ausgangslage

Die betreffende Zertifikatvorlage ist in der Karteikarte "Subject Name" entsprechend konfiguriert, dem Antragsteller die Identität in der Zertifikatanforderung einreichen zu lassen ("Supply in the request").

Aus Sicherheitsgründen erfordert die Zertifikatvorlage in der Karteikarte "Issuance Requirements" die manuelle Prüfung eingehender Zertifikatanforderungen durch einen Zertifikatmanager.

Die Kompatibilitätsoptionen für die Zertifikatvorlage sind auf "Windows Server 2003" für die Zertifizierungsstelle und "Windows XP" für die Zertifikatempfänger eingestellt. Es handelt sich somit um eine Zertifikatvorlage der Version 2.

Die betreffenden Benutzer besitzen das "Enroll"-Recht, aber nicht das "Autoenroll" Recht. Sie müssen somit die Zertifikatbeantragung manuell auslösen.

Bei anstehendem Zertifikatablauf werden Benutzer zur Erneuerung aufgefordert. Es ist jedoch wie bei einer Neubeantragung die Genehmigung durch einen Zertifikatmanager erforderlich.

Halbautomatische Erneuerung

In der Karteikarte "Issuance Requirements" kann man die Option "Valid existing certificate" im Bereich "Require the following for reenrollment" aktivieren.

Workflow für die Benutzer

Nähert sich ein Zertifikat nun seinem Ablaufdatum, wird, ausgelöst durch den Autoenrollment Prozess, der Benutzer aufgefordert, eine Zertifikaterneuerung durchzuführen. Es erscheint eine entsprechende Benachrichtigung auf dem Desktop.

Bitte beachten, dass – wenn der Benutzer den Dialog nicht öffnet und durcharbeitet – der Autoenrollment Prozess für den angemeldeten Benutzer stillsteht und eventuell weitere Zertifikate auch nicht beantragen wird.

Es müssen immer mindestens 80% des Zertifikat-Gültigkeitszeitraums vergangen sein, bevor der Prozess ausgelöst wird. Für weitere Informationen siehe Artikel "Planung von Zertifikat-Gültigkeit und Erneuerungs-Zeitraum von End-Entitäts-Zertifikaten mit Autoenrollment".

Solange der Prozess nicht abgeschlossen ist, erscheint auch ein entsprechendes Symbol in der Taskleiste.

Klickt der Benutzer die Benachrichtigung an, erscheint ein Dialog für die Zertifikatbeantragung.

Die entsprechende Zertifikatvorlage ist vorausgewählt und erfordert keine weitere Konfiguration. Die Identität wird auf dem vorherigen Zertifikat übernommen.

Wird der Zertifikatantrag an die Zertifizierungsstelle gesendet, stellt diese das Zertifikat direkt aus und liefert es an den Benutzer zurück.

Neu eingereichte Zertifikatanforderungen werden natürlich weiterhin die manuelle Freigabe durch einen Zertifikatmanager erfordern.

Vollautomatische Erneuerung

Möchte man dem Benutzer eine Interaktion ersparen, ist seit Windows 8 auch eine vollautomatische Erneuerung möglich. Hierfür muss die Kompatibilitätseinstellung in der Karteikarte "General" der Zertifikatvorlage auf "Windows Server 2012" für die Zertifizierungsstelle sowie "Windows 8" für den Zertifikatempfänger umgestellt werden.

Siehe Auch Artikel "Übersicht über die Verfügbarkeit von Optionen bei Veränderung der Kompatibilitätseinstellungen einer Zertifikatvorlage" für eine Erkärung, welche Kompatibilitätseinstellungen welche Optionen aktivieren.

Diese Einstellungen haben keine Auswirkungen auf die Version der Zertifikatvorlage und kann somit auch nachträglich auf einer Zertifikatvorlage der Version 2 gesetzt werden. Für weitere Informationen siehe auch Artikel "Wie sind die Kompatibilitätseinstellungen für Zertifikatvorlagen technisch abgebildet?".

Die geänderte Kompatibilitätseinstellung schaltet eine neue Option "Use subject information from existing certificates for autoenrollment renewal requests" in der Karteikarte "Subject Name" frei.

Es muss nun noch die "Autoenroll" Berechtigung an die ensprechende Benutzergruppe vergeben werden.

Natürlich muss für die Benutzer auch eine entsprechende Gruppenrichtlinie konfiguriert werden, die den Autoenrollment Prozess entsprechend für die Benutzer aktiviert.

Workflow für die Benutzer

Die Zertifikate werden vollautomatisch erneuert. Die Benutzer werden nicht zur Zertifikaterneuerung aufgefordert und die Zertifizierungsstelle wird die Zertifkate vollautomatisch ausstellen.

Neu eingereichte Zertifikatanforderungen werden natürlich weiterhin die manuelle Freigabe durch einen Zertifikatmanager erfordern.

Nebenwirkungen

Benutzer, die bislang kein Zertifikat beantragt haben bzw. besitzen, werden nun allerdings automatisch aufgefordert, einen Zertifikatantrag zu stellen.

Bitte beachten, dass – wenn der Benutzer den Dialog nicht öffnet und durcharbeitet – der Autoenrollment Prozess für den angemeldeten Benutzer stillsteht und eventuell weitere Zertifikate auch nicht beantragen wird.

Sicherheitsbedenken

Bei der Erneuerung des Zertifikats wird das vorige Zertifikat zum Signieren der Zertifikatanforderung verwendet und die Subject/Subject Alternative Name Information mit der neuen Zertifikatanforderung verglichen.

Hierbei werden laut einem alten Blogartikel von Microsoft aber nicht alle Felder miteinander abgeglichen.

  • Bei Online-Zertifikatvorlagen (Subjectinformation wird aus dem Active Directory gebildet), muss das initiale Zertifikat angeblich einen Benutzerprinzipalname (User Principal Name, UPN) oder eine E-Mail Adresse im Subject Alternative Name (SAN) enthalten, damit eine automatische Genehmigung erfolgt.
  • Bei Offline-Zertifikatvorlagen wird nur die Subject Information verglichen und der Subject Alternative Name wird angeblich komplett ignoriert. Im Umkehrschluss würde dies bedeuten, dass man hier eventuell einen Subject Alternative Name durch eine Erneuerungs-Anforderung unterschieben kann. Ein Test hierzu steht aktuell noch aus.

Weiterführende Links

Externe Quellen

Ein Gedanke zu „Automatische Erneuerung manuell beantragter Zertifikate ohne Eingriff eines Zertifikatmanagers“

Kommentare sind geschlossen.