Für welche Zwecke ein digitales Zertifikat verwendet werden darf, wird über die Zertifikaterweiterungen "Key Usage" und "Enhanced Key Usage" gesteuert.
In der "Enhanced Key Usage" Zertifikaterweiterung werden die erweiterten Schlüsselverwendungen eingetragen, für welche das Zertifikat verwendet werden darf.
Es gibt jedoch bei von einer Microsoft Zertifizierungsstelle ausgestellten Zertifikaten noch eine weitere Zertifikaterweiterung namens "Anwendungsrichtlinien" (engl. "Application Policies"), die ebenfalls eine der Extended Key Usages Erweiterung sehr ähnliche Liste enthält.
Es kann hier zu Verwirrung betreffend der Begrifflichkeiten kommen, da Extended Key Usages manchmal ebenso als "Application Policies" bezeichnet werden (u.A. von certutil und dem Zertifikat-Shell-Dialog in Windows). Daher muss bei der Diskussion zwischen dem Begriff "Application Policies", bei denen eigentlich "Enhanced/Extended Key Usages" gemeint ist, und der "Application Policies" Zertifikaterweiterung in ausgestellten Zertifikaten unterschieden werden.
Hintergrund
Die "Application Policies" Zertifikaterweiterung ist ein Microsoft-proprietäres Relikt aus Windows 2000/2003 Zeiten.
Application policy is Microsoft specific and is treated much like Extended Key Usage.
Entsprechend heit auch das dazugehörige COM Interface IX509ExtensionMSApplicationPolicies, beinhaltet also ein Kürzel, welches auf eine proprietäre Erweiterung hindeutet.
Der Begriff "Enhanced Key Usage" ist auch nicht komplett trennscharf. Er wird überwiegend im Microsoft-PKI-Umfeld eingesetzt. Die einschlägigen RFC sprechen hingegen von "Extended Key Usage". Beide Begriffe sind allerdings exakt deckungsgleich.
Anwendungen, die sich konform zum maßgeblichen RFC 5280 verhalten, kennen diese Zertifikaterweiterung üblicherweise nicht und verwenden diese entsprechend auch nicht. Ebenso würden sie die Zertifikatverarbeitung abbrechen, wenn diese Erweiterung als kritisch markiert wäre.
Andere Zertifizierungsstellen-Produkte tragen diese Erweiterung nicht in die ausgestellten Zertifikate ein, somit kann nicht davon ausgegangen werden, dass diese von allen gängigen Endanwendungen unterstützt wird.
Die RFC-konforme Zertifikaterweiterung ist die "Extended Key Usage" Erweiterung.
Da die Zertifikaterweiterung in der Standardeinstellung als nicht kritisch markiert ist, wird sie von Anwendungen, welche sie nicht kennen und entsprechend nicht interpretieren können, ignoriert. Somit hat sie effektiv keinen Effekt, auch wenn sie in einem Zertifikat vorhanden sein sollte.
Die "Application Policies" Erweiterung aus ausgestellten Zertifikaten entfernen
In der Standardeinstellung ist das Standard Policy Modul der Zertifizierungsstelle dafür verantwortlich, dass diese Zertifikaterweiterung in ausgestellte Zertifikate geschrieben wird.
Die "Application Policies" Zertifikaterweiterung kann mit folgendem Kommandozeilenbefehl auf der Zertifizierungsstelle deaktiviert werden.
certutil -setreg policy\DisableExtensionList +1.3.6.1.4.1.311.21.10
Der Zertifizierungsstellen-Dienst muss anschließend neu gestartet werden, damit die Änderungen wirksam werden.
Ab diesem Moment ausgestellte Zertifikate enthalten nur noch die "Enhanced Key Usage" Erweiterung, aber nicht mehr die "Application Policies" Erweiterung.
Weiterführende Links:
Externe Quellen:
- Using Application Policies (Microsoft)
- Object IDs associated with Microsoft cryptography (Microsoft, Archivlink)
- Request extension processing in Active Directory Certification Authority (PKI Solutions, Inc.)
Deutsch 
English
2 Gedanken zu „Die "Application Policies" Zertifikaterweiterung“
Kommentare sind geschlossen.