Stammstellen-Zertifikate werden auf Domänenmitgliedern in den Zertifikatspeicher für Zwischenzertifizierungsstellen importiert

Manch einem wird aufgefallen sein, dass der Zertifikatspeicher für Zwischenzertifizierungsstellen üblicherweise auch Zertifikate für Stammzertifizierungsstellen beinhaltet.

In der Regel ist dieses Verhalten unkritisch. In bestimmten Fällen kann dies allerdings auch Probleme mit Anwendungen hervorrufen.

Ursache

Betrachtet man die physischen Zertifikatspeicher, was Auskunft über die Herkunft der Zertifikate ermöglicht, wird schnell klar, dass die Zertifikate durch das Active Directory auf die Clients repliziert werden.

Grund hierüfr ist der Autoenrollment-Prozess, der ein Replikat des "Public Key Services" Objektes aus dem Active Directory lokal abspeichert. Hierbei wird der "AIA" Ordner lokal in den Zertifikatspeicher für Zwischenzertifizierungsstellen übertragen.

Ansehen kann man sich den "AIA " Ordner bequem über die Unternehmens-PKI (engl. Enterprise PKI, pkiview.msc) Managementkonsole.

Die Stammstellenzertifikate wurden in den "AIA"-Ordner unterhalb "Public Key Services" importiert. Dies ist eine Nebenwirkung, die üblicherweise während der Installation der Zertifizierungsstelle auftritt.

Üblicherweise wird das Stammstellenzertifikat nach deren Installation ins Active Directory hochgeladen. Üblicherweise wird folgender Befehl dafür verwendet.

certutil -f -dspublish <Dateiname.crt>

Wie man sieht, wird das Zertifikat aber nicht nur nach "Certification Authorities", sondern auch nach "AIA" kopiert.

Entfernen der Stammstellen-Zertifikate aus dem Zertifikatspeicher für Zwischenzertifizierungsstellen auf Domänenmitgliedern

Die Löschung kann über die Unternehmens-PKI (engl. Enterprise PKI, pkiview.msc) Managementkonsole vorgenommen werden. Hierfür sind Schreibrechte auf dem entsprechenden Active Directory Objekt erforderlich, die in der Standardeinstellung die Gruppe "Enterprise Administrators" der Gesamtstruktur besitzt.

Nebenwirkungen

Sofern die Stammzertifizierungsstelle für den Zugriff auf Stelleninformationen (engl. Authority Information Access, AIA) auch einen LDAP-Pfad verwendet, sollte überlegt werden, diesen für künftig ausgestellte Zertifikate zu deaktivieren.

Diese Änderung hat keine Auswirkungen auf bereits ausgestellte Zertifikate. Sie wird nur für ab diesem Zeitpunkt ausgestellte Zertifikate effektiv. Da die Bildung der Zertifikatkette jedoch nicht den AIA für Stammstellenzertifikat verwendet, sollte dieser ohnehin nicht in Gebrauch sein.

Weiterführende Links:

Externe Quellen