Bearbeiten des NTAuthCertificates Objektes im Active Directory

Autor Uwe GradeneggerVeröffentlicht am Kategorien Active Directory, Security, Smartcard, ZertifizierungsstelleSchlagwörter , ,

In der Standardkonfiguration befinden sich alle Zertifizierungsstellen-Zertifikate von ins Active Directory integrierten Zertifizierungsstellen (Enterprise Certification Authority) in einem Objekt vom Typ CertificationAuthority namens NTAuthCertificates innerhalb der Configuration Partition der Active Directory Gesamtstruktur.

Für eine Gesamtstruktur mit dem Namen intra.adcslabor.de befindet sich das Objekt in folgendem LDAP-Pfad:

CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de

Die Zertifizierungsstellen-Zertifikate werden bei der Installation von ins Active Directory integrierten Zertifizierungsstellen (eng. Enterprise Certification Authority) automatisch in das Objekt eingetragen.

Das NTAuthCertificates Objekt wird im Windows-Ökosystem zur Autorisierung von Zertifizierungsstellen für auf Zertifikaten basierende Anmeldungen verwendet. Dies umfasst unter Anderem:

FunktionBeschreibung
Enroll on Behalf Of (EOBO)Das CA-Zertifikat der Zertifizierungsstelle , welche die Zertifikate für die Enrollment Agenten ausstellt, muss sich in NTAuthCertificates befinden.
Key Recovery / Private Key ArchivierungDas CA-Zertifikat der Zertifizierungsstelle, welche die Schlüssel archiviert, muss sich in NTAuthCertificates befinden.
Smartcard LogonDas CA-Zertifikat der Zertifizierungsstelle, welche die Zertifikate der Domänencontroller und der anmeldenden Benutzer ausstellt, muss sich in NTAuthCertificates befinden.
Windows Hello for BusinessIdentisch zu Smartcard Logon.
Netzwerkrichtlinienserver (Network Policy Server, NPS), wenn Zertifikatbasierte Anmeldungen verarbeitet werden (z.B. 802.1x über drahtloses oder verkabeltes Netzwerk, DirectAccess, Always ON VPN)Das CA-Zertifikat der Zertifizierungsstelle, welche die Zertifikate der anmeldenden Benutzer oder Computer ausstellt, muss sich in NTAuthCertificates befinden.
EFS Dateiwiederherstellungs-AgentenDas CA-Zertifikat der Zertifizierungsstelle, welche die Zertifikate der Dateiwiederherstellungs-Agenten ausstellt, muss sich in NTAuthCertificates befinden.
IIS Client Certificate Mapping (gegen Active Directory)Das CA-Zertifikat der Zertifizierungsstelle, welche die Zertifikate der anmeldenden Benutzer ausstellt, muss sich in NTAuthCertificates befinden.
Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES), nur Renewal-ModusBetrifft nur den Renewal-Modus, also das signieren einer Zertifikatanforderung mit einem bestehenden Zertifikat.
Das CA-Zertifikat der Zertifizierungsstelle, welche die Zertifikate der zu erneuernden Zertifikate ausgestellt hat, muss sich in NTAuthCertificates befinden.

Siehe auch Artikel "Änderungen an der Zertifikatausstellung und an der zertifikatbasierten Anmeldung am Active Directory mit dem Patch für Windows Server vom 10. Mai 2022 (KB5014754)".

Zertifizierungsstellen, welche solche Anmeldeformen nicht bedienen, können gefahrlos aus dem Objekt entfernt werden. Da die CA-Zertifikate als ASN.1 kodiertes Byte Array abgespeichert sind, und man den Inhalt der Zertifikate nicht sehen kann, eignet sich der ADSI-Editor hierfür weniger.

Stattdessen sollte das Enterprise PKI Werkzeug (pkiview.msc) aus den Remote Server Administration Tools (RSAT) für die Zertifizierungsstelle verwendet werden. In diesem Programm gibt es die Option "Manage AD Containers".

Für diesen Schritt sind Enterprise Administrator- oder entsprechend delegierte Berechtigungen erforderlich.

Im Karteireiter NTAuthCertificates können alle CA-Zertifikate, die nicht benötigt werden, entfernt werden.

Bitte beachten, dass Zertifizierungsstellen bei Fehlen eines ihrer Zertifizierungsstellen-Zertifikate das Ereignis Nr. 93 im Ereignisprotokoll erzeugen werden, die in diesem Fall natürlich bewußt ignoriert werden kann.

Weiterführende Links:

Externe Quellen

22 Gedanken zu „Bearbeiten des NTAuthCertificates Objektes im Active Directory“

  1. Pingback: Verwenden von Authentication Mechanism Assurance (AMA) für die Absicherung der Anmeldung administrativer Konten – Uwe Gradenegger
  2. Pingback: Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung "A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)" – Uwe Grad
  3. Pingback: Domänencontroller überprüfen erweiterte Schlüsselverwendung (Extended Key Usage) bei Smartcard Anmeldung nicht – Uwe Gradenegger
  4. Pingback: Angriffsvektor auf den Active Directory Verzeichnisdienst über den Smartcard Logon Mechanismus – Uwe Gradenegger
  5. Pingback: Welche Voraussetzungen müssen auf Infrastruktur-Seite erfüllt sein, damit Smartcard-Anmeldungen möglich sind? – Uwe Gradenegger
  6. Pingback: Gibt es eine Abhängigkeit des Registrierungsdienstes für Netzwerkgeräte (NDES) mit dem NTAuthCertificates Objekt? – Uwe Gradenegger
  7. Pingback: Details zum Ereignis mit ID 21 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center – Uwe Gradenegger
  8. Pingback: Die Installation eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung "Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)" – Uwe Gradenegger
  9. Pingback: Signieren von Zertifikaten unter Umgehung der Zertifizierungsstelle – Uwe Gradenegger
  10. Pingback: Details zum Ereignis mit ID 93 der Quelle Microsoft-Windows-CertificationAuthority – Uwe Gradenegger
  11. Pingback: Die Beantragung eines Zertifikats über Enroll on Behalf of (EOBO) schlägt fehl mit der Fehlermeldung "A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UN
  12. Pingback: Grundlagen: Enroll on Behalf of (EOBO) – Uwe Gradenegger
  13. Pingback: Einordnung der ADCS-Komponenten in das administrative Schichtenmodell (Administrative Tiering Model) – Uwe Gradenegger
  14. Pingback: Das Subject (Betreff, Antragsteller) einer Zertifikatanforderung (CSR) nachträglich verändern – Uwe Gradenegger
  15. Pingback: Von Null auf Enterprise Administrator durch den Registrierungsdienst für Netzwerkgeräte (NDES) – Uwe Gradenegger
  16. Pingback: Rechteerhöhung mit den Registration Authority Zertifikaten des Registrierungsdienst für Netzwerkgeräte (NDES) – Uwe Gradenegger
  17. Pingback: Grenzen der Microsoft Active Directory Certificate Services – Uwe Gradenegger
  18. Pingback: Änderungen an der Zertifikatausstellung und an der zertifikatbasierten Anmeldung am Active Directory mit dem Patch für Windows Server vom 10. Mai 2022 (KB5014754) – Uwe Gradenegger
  19. Pingback: Grundlagen: Authentisierungsverfahren für die Internet Information Services (IIS) – Uwe Gradenegger
  20. Pingback: Grundlagen: Einschränken der erweiterten Schlüsselverwendung (Extended Key Usage, EKU) in Zertifizierungsstellen-Zertifikaten – Uwe Gradenegger
  21. Pingback: Anmeldefehler mit Windows Hello for Business: "Wenden Sie sich an den Systemadministrator, und teilen Sie ihm mit, dass das KDC-Zertifikat nicht überprüft werden konnte." – Uwe Gradenegger
  22. Pingback: Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) – Uwe Gradenegger

Kommentare sind geschlossen.