In der Standardkonfiguration befinden sich alle Zertifizierungsstellen-Zertifikate von ins Active Directory integrierten Zertifizierungsstellen (Enterprise Certification Authority) in einem Objekt vom Typ CertificationAuthority namens NTAuthCertificates innerhalb der Configuration Partition der Active Directory Gesamtstruktur.
Für eine Gesamtstruktur mit dem Namen intra.adcslabor.de befindet sich das Objekt in folgendem LDAP-Pfad:
CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de

Die CA-Zertifikate werden bei der Installation der Zertifizierungsstelle automatisch in das Objekt geschrieben. Das NTAuthCertificates Objekt wird im Windows-Ökosystem zur Autorisierung von Zertifizierungsstellen für auf Zertifikaten basierende Anmeldungen verwendet. Dies umfasst unter Anderem:
Funktion | Beschreibung |
---|---|
Enroll on Behalf Of (EOBO) | Das CA-Zertifikat der Zertifizierungsstelle , welche die Zertifikate für die Enrollment Agenten ausstellt, muss sich in NTAuthCertificates befinden. |
Key Recovery / Private Key Archival | Das CA-Zertifikat der Zertifizierungsstelle, welche die Schlüssel archiviert, muss sich in NTAuthCertificates befinden. |
Smartcard Logon | Das CA-Zertifikat der Zertifizierungsstelle, welche die Zertifikate der Domänencontroller und der anmeldenden Benutzer ausstellt, muss sich in NTAuthCertificates befinden. |
Windows Hello for Business | Identisch zu Smartcard Logon. |
Microsoft Network Policy Server (NPS) | Das CA-Zertifikat der Zertifizierungsstelle, welche die Zertifikate der anmeldenden Benutzer oder Computer ausstellt, muss sich in NTAuthCertificates befinden. |
EFS Dateiwiederherstellungs-Agenten | Das CA-Zertifikat der Zertifizierungsstelle, welche die Zertifikate der Dateiwiederherstellungs-Agenten ausstellt, muss sich in NTAuthCertificates befinden. |
IIS Client Certificate Mapping (gegen Active Directory) | Das CA-Zertifikat der Zertifizierungsstelle, welche die Zertifikate der anmeldenden Benutzer ausstellt, muss sich in NTAuthCertificates befinden. |
Siehe auch Artikel "Änderungen an der Zertifikatausstellung und an der zertifikatbasierten Anmeldung am Active Directory mit dem Patch für Windows Server vom 10. Mai 2022 (KB5014754)".
Zertifizierungsstellen, welche solche Anmeldeformen nicht bedienen, können gefahrlos aus dem Objekt entfernt werden. Da die CA-Zertifikate als ASN.1 kodiertes Byte Array abgespeichert sind, und man den Inhalt der Zertifikate nicht sehen kann, eignet sich der ADSI-Editor hierfür weniger.
Stattdessen sollte das Enterprise PKI Werkzeug (pkiview.msc) aus den Remote Server Administration Tools (RSAT) für die Zertifizierungsstelle verwendet werden. In diesem Programm gibt es die Option "Manage AD Containers".

Für diesen Schritt sind Enterprise Administrator- oder entsprechend delegierte Berechtigungen erforderlich.
Im Karteireiter NTAuthCertificates können alle CA-Zertifikate, die nicht benötigt werden, entfernt werden.

Bitte beachten, dass Zertifizierungsstellen bei Fehlen eines ihrer Zertifizierungsstellen-Zertifikate das Ereignis Nr. 93 im Ereignisprotokoll erzeugen werden, die in diesem Fall natürlich bewußt ignoriert werden kann.

Weiterführende Links:
- Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung "A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)"
- Angriffsvektor auf den Active Directory Verzeichnisdienst über den Smartcard Logon Mechanismus
- Remoteserver-Verwaltungstools für Active Directory Certificate Services auf Windows 10 ab Version 1809 installieren
- Welche Voraussetzungen müssen auf Infrastruktur-Seite erfüllt sein, damit Smartcard-Anmeldungen möglich sind?
Externe Quellen
- Map Client Certificates by Using Active Directory Mapping (IIS 7) (Microsoft Corporation)
- Client Certificate Mapping Authentication (Microsoft Corporation)
20 Gedanken zu „Bearbeiten des NTAuthCertificates Objektes im Active Directory“
Kommentare sind geschlossen.