Alle für eine Zertifikatvorlage ausgestellten Zertifikate automatisch von den Zertifikatinhabern erneuern lassen

Autor Uwe GradeneggerVeröffentlicht am Kategorien Zertifikat-BenutzungSchlagwörter ,

Beim Betrieb einer Zertifizierungsstelle kann es vorkommen, dass alle ausgestellten Zertifikate für eine bestimmte Zertifikatvorlage erneuert werden müssen, beispielsweise aufgrund größerer Konfigurationsänderungen oder Wechsel der ausstellenden Zertifizierungsstelle. Nachfolgend wird ein Mechanismus beschrieben, mit dem dies automatisiert erreicht werden kann.

Sofern die Zertifikatvorlage für die automatische Beantragung konfiguriert wurde (Autoenrollment), kann dieser Prozess für eine automatische Erneuerung verwendet werden.

Die Zertifikatvorlagen besitzen ein "Version" Attribut, welches für diese Funktion verwendet werden kann.

  • Die "Minor Version Number", also die Zahl hinter dem Punkt, wird bei jeder VBeränderung der Zertifikatvorlage erhöht.
  • Die "Major Version Number", also die Zahl vor dem Punkt kann durch den Administrator der Zertifikate manuell erhöht werden. Wird die Nummer erhöht, wird die "Minor Version Number" wieder auf 0 zurückgesetzt.

In einem ausgestellten Zertifikat finden sich die Versionsnummern in der Erweiterung "Certificate Template Information" mitsamt dem Object Identifier (OID) für die Zertifikatvorlage wieder.

Anhand dieser Informationen kann der Autoenrollment Prozess nun den Ist-Stand im Zertifikatspeicher mit dem Soll-Stand im Active Directory vergleichen. Sollte das lokale Zertifikat eine niedrigere Major Version Number aufweisen als in der Zertifikatvorlage, wird automatisch ein Zertifikatantrag gestellt.

Die Erhöhung der Major Version Number kann der Administrator einer Zertifikatvorlage per Rechtsklick und Auswahl von "Reenroll All Certificate Holders" auslösen.

Die Major Version Number sollte nun erhöht und die Minor Version Number auf 0 zurückgesetzt worden sein.

Nachdem der Autoenrollment Prozess ausgelöst wurde, sollte ein neues Zertifikat beantragt worden sein. Das vorige Zertifikat wird archiviert, sodass es nicht mehr verwendet werden kann.

Eine Sperrung der vorigen Zertifikate wird jedoch nicht automatisch durch die Zertifizierungsstelle durchgeführt.

Weiterführende Links:

Ein Gedanke zu „Alle für eine Zertifikatvorlage ausgestellten Zertifikate automatisch von den Zertifikatinhabern erneuern lassen“

  1. Pingback: Es werden regelmäßig neue Zertifikate über Autoenrollment beantragt – Uwe Gradenegger

Kommentare sind geschlossen.

de_DEDeutsch
en_USEnglish de_DEDeutsch