Bearbeiten des NTAuthCertificates Objektes im Active Directory

In der Standardkonfiguration befinden sich alle Zertifizierungsstellen-Zertifikate von ins Active Directory integrierten Zertifizierungsstellen (Enterprise Certification Authority) in einem Objekt vom Typ CertificationAuthority namens NTAuthCertificates innerhalb der Configuration Partition der Active Directory Gesamtstruktur.

Für eine Gesamtstruktur mit dem Namen intra.adcslabor.de befindet sich das Objekt in folgendem LDAP-Pfad:

CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de

Die CA-Zertifikate werden bei der Installation der Zertifizierungsstelle automatisch in das Objekt geschrieben. Das NTAuthCertificates Objekt wird im Windows-Ökosystem zur Autorisierung von Zertifizierungsstellen für auf Zertifikaten basierende Anmeldungen verwendet. Dies umfasst unter Anderem:

FunktionBeschreibung
Enroll on Behalf Of (EOBO)Das CA-Zertifikat der Zertifizierungsstelle , welche die Zertifikate für die Enrollment Agenten ausstellt, muss sich in NTAuthCertificates befinden.
Key Recovery / Private Key ArchivalDas CA-Zertifikat der Zertifizierungsstelle, welche die Schlüssel archiviert, muss sich in NTAuthCertificates befinden.
Smartcard LogonDas CA-Zertifikat der Zertifizierungsstelle, welche die Zertifikate der Domänencontroller und der anmeldenden Benutzer ausstellt, muss sich in NTAuthCertificates befinden.
Windows Hello for BusinessIdentisch zu Smartcard Logon.
Microsoft Network Policy Server (NPS)Das CA-Zertifikat der Zertifizierungsstelle, welche die Zertifikate der anmeldenden Benutzer oder Computer ausstellt, muss sich in NTAuthCertificates befinden.
EFS Dateiwiederherstellungs-AgentenDas CA-Zertifikat der Zertifizierungsstelle, welche die Zertifikate der Dateiwiederherstellungs-Agenten ausstellt, muss sich in NTAuthCertificates befinden.
IIS Client Certificate Mapping (gegen Active Directory) Das CA-Zertifikat der Zertifizierungsstelle, welche die Zertifikate der anmeldenden Benutzer ausstellt, muss sich in NTAuthCertificates befinden.

Siehe auch Artikel "Änderungen an der Zertifikatausstellung und an der zertifikatbasierten Anmeldung am Active Directory mit dem Patch für Windows Server vom 10. Mai 2022 (KB5014754)".

Zertifizierungsstellen, welche solche Anmeldeformen nicht bedienen, können gefahrlos aus dem Objekt entfernt werden. Da die CA-Zertifikate als ASN.1 kodiertes Byte Array abgespeichert sind, und man den Inhalt der Zertifikate nicht sehen kann, eignet sich der ADSI-Editor hierfür weniger.

Stattdessen sollte das Enterprise PKI Werkzeug (pkiview.msc) aus den Remote Server Administration Tools (RSAT) für die Zertifizierungsstelle verwendet werden. In diesem Programm gibt es die Option "Manage AD Containers".

Für diesen Schritt sind Enterprise Administrator- oder entsprechend delegierte Berechtigungen erforderlich.

Im Karteireiter NTAuthCertificates können alle CA-Zertifikate, die nicht benötigt werden, entfernt werden.

Bitte beachten, dass Zertifizierungsstellen bei Fehlen eines ihrer Zertifizierungsstellen-Zertifikate das Ereignis Nr. 93 im Ereignisprotokoll erzeugen werden, die in diesem Fall natürlich bewußt ignoriert werden kann.

Weiterführende Links:

Externe Quellen

20 Gedanken zu „Bearbeiten des NTAuthCertificates Objektes im Active Directory“

Kommentare sind geschlossen.