Gibt es eine Abhängigkeit des Registrierungsdienstes für Netzwerkgeräte (NDES) mit dem NTAuthCertificates Objekt?

Der Registrierungsdienst für Netzwerkgeräte (NDES) verfügt über zwei Registration Authority Zertifikate. Mit dem Enrollment-Agenten-Zertifikat werden Zertifikatanforderungen signiert und man kann die NDES-Gerätevorlage entsprechend konfigurieren, sodass Zertifikate auch nur dann ausgestellt werden, wenn die eingereichten Zertifikatanforderungen auch eine entsprechende Signatur aufweisen.

Plant man, die mit dem NDES verbundene Zertifizierungsstelle aus dem NTAuthCertificates Objekt zu entfernen, kommt eventuell die Frage auf, ob hier wechselseitige Abhängigkeiten zu berücksichtigen sind – schließlich erfordert Enroll on Behalf Of (EOBO) das Vorhandensein des Zertifizierungsstellen-Zertifikats in NTAuthCertificates.

Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".

Die Frage ist klar mit "nein" zu beantworten – die Zertifikatbeantragung über NDES verwendet kein Enroll on Behalf of. Es handelt sich lediglich um eine signierte Zertifikatanforderung. Entsprechend funktioniert sie auch, wenn die Zertifizierungsstelle nicht Mitglied von NTAuthCertificates ist.

Im Umkehrschluss bedeutet dies jedoch auch, dass bei NDES nicht mit Einschränkungen der Beantragungs-Agenten (Restricted Enrollment Agents) gearbeitet werden kann.

Möchte man seine Zertifizierungsstelle mit einem oder mehreren Registrierungsdienst für Netzwerkgeräte (NDES) betreiben und parallel mit Einschränkungen der erweiterten Schlüsselverwendung (Extended Key Usage Constraints) ausstatten, ist darauf zu achten, dass das "Certificate Request Agent" Enhanced Key Usage mit in die Liste der erweiterten Schlüsselverwendungen aufgenommen wird, da die Registration Authority (RA) Zertifikate des NDES immer von der gleichen Zertifizierungsstelle kommen müssen.

Weiterführende Links:

Ein Gedanke zu „Gibt es eine Abhängigkeit des Registrierungsdienstes für Netzwerkgeräte (NDES) mit dem NTAuthCertificates Objekt?“

Kommentare sind geschlossen.