Eine Active Directory integrierte Zertifizierungsstelle (Enterprise Certification Authority) in den Wartungsmodus versetzen

Möchte man Wartungsarbeiten wie beispielsweise die Migration auf einen anderen Server oder umfangreichere Konfigurationsänderungen, die einen Funktionstest erfordern, auf einer Zertifizierungsstelle durchführen, möchte man erreichen, dass der Zertifizierungsstellen-Dienst zwar läuft, aber gleichzeitig verhindern, dass während dieser Phase automatisch Zertifikate von der Zertifizierungsstelle beantragt und durch diese ausgestellt werden.

Dieser Zustand kann relativ einfach erreicht werden, indem man den Benutzern das Recht entzieht, Zertifikate von der Zertifizierungsstelle zu beantragen.

In der Standardeinstellung ist in den Sicherheitsoptionen der Zertiifzierungsstelle ein Eintrag für die "Authenticated Users", welche somit alle Benutzer in der Active Directory Gesamtstruktur umfassen, mit dem Recht "Request Certificates" eingetragen.

Für die Erreichung eines Wartungsmodus ist es ausreichend, diesen Eintrag vorübergehend zu entfernen. Dies wird über die Zertifizierungsstellen-Verwaltungskonsole (certsrv.msc) vorgenommen. Die Sicherheitsoptionen für die Zertifizierungsstelle sind erreichbar mit Rechtsklick auf die Zertifizierungsstelle und Auswahl von "Properties".

Für einen Funktionstest sollten die Konten, mit denen die Tests durchgeführt werden, hier übergangsweise das Recht "Request Certificates" manuell eingeräumt werden.

Die Einstellungen sind direkt und ohne Neustart des Zertifizierungsstellen-Dienstes effektiv.

Besonders praktisch an dieser Vorgehensweise ist, dass die hier konfigurierten Berechtigungen auch in das pKIEnrollmentService Objekt im Active Directory übertragen sind. Clients wissen also automatisch, dass sie keine Zertifikate von der Zertifizierungsstelle beantragen können und stellen während des Wartungsmodus also auch keine Zertifikatanforderungen.

Jedoch kann dieser Umstand auch zu ungewünschten Nebeneffekten führen. Wenn man beispielsweise während der Migration einer Zertifizierungsstelle auf einen anderen Server zuerst die Sicherung der Zertifizierungsstellen-Registrierung vornimmt und anschließend in den Wartungsmodus wechselt, wird nach Wiederherstellung der Registry auf dem neuen Server das pKIEnrollmentService Objekt nicht korrekt aktualisiert. Es ist in diesem Fall also unbedingt auf die korrekte Reihenfolge zu achten.

Weiterführende Links:

• Migration einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) auf einen neuen Server
• Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung "A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted."