Gibt es eine Abhängigkeit des Registrierungsdienstes für Netzwerkgeräte (NDES) mit dem NTAuthCertificates Objekt?

Der Registrierungsdienst für Netzwerkgeräte (NDES) verfügt über zwei Registration Authority Zertifikate. Mit dem Enrollment-Agenten-Zertifikat werden Zertifikatanforderungen signiert und man kann die NDES-Gerätevorlage entsprechend konfigurieren, sodass Zertifikate auch nur dann ausgestellt werden, wenn die eingereichten Zertifikatanforderungen auch eine entsprechende Signatur aufweisen.

Plant man, die mit dem NDES verbundene Zertifizierungsstelle aus dem NTAuthCertificates Objekt zu entfernen, kommt eventuell die Frage auf, ob hier wechselseitige Abhängigkeiten zu berücksichtigen sind – schließlich erfordert Enroll on Behalf Of (EOBO) das Vorhandensein des Zertifizierungsstellen-Zertifikats in NTAuthCertificates.

Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".

Hat NDES eine Abhängigkeit zu NTAuthCertificates?

NDES kann ohne Mitgliedschaft der betreffenden Zertifizierungsstellen in NTAuthCertificates betrieben werden.

Die einzige Ausnahme bildet der Renewal-Modus, sprich wenn eine Zertifikatanforderung mit einem bestehenden Zertifikat signiert werden soll. In diesem Fall muss die Zertifizierungsstelle, welche die zu erneuernden Zertifikate ausgestellt hat, Mitglied in NTAuthCertificates sein. Ist dies nicht der Fall, wird des NDES-Server das Ereignis Nr. 28 protokollieren, wenn eine Zertifikatanforderung im Renewal-Modus verarbeitet wird, und diese ablehnen.

Die meisten clientseitigen Implementierungen des SCEP-Protokolls verzichten ohnehin jedoch auf die Verwendung des Renewal-Modus, sodass dies keine große Einschränkung darstellen sollte. Das größte Einfallstor verbleibt weiterhin die reguläre Zertifikatbeantragung mit oder ohne Einmalkennwort, dessen Auswirkungen beispielsweise mit dem TameMyCerts Policy Modul für Microsoft Active Directory Certificate Services drastisch reduziert werden können.

Verwendet NDES den Enroll on Behalf Of (EOBO) Mechanismus?

Die Frage ist klar mit "nein" zu beantworten – die Zertifikatbeantragung über NDES verwendet kein Enroll on Behalf of. Es handelt sich lediglich um eine signierte Zertifikatanforderung. Entsprechend funktioniert sie auch, wenn die Zertifizierungsstelle nicht Mitglied von NTAuthCertificates ist.

Im Umkehrschluss bedeutet dies jedoch auch, dass bei NDES nicht mit Einschränkungen der Beantragungs-Agenten (Restricted Enrollment Agents) gearbeitet werden kann.

Möchte man seine Zertifizierungsstelle mit einem oder mehreren Registrierungsdienst für Netzwerkgeräte (NDES) betreiben und parallel mit Einschränkungen der erweiterten Schlüsselverwendung (Extended Key Usage Constraints) ausstatten, ist darauf zu achten, dass das "Certificate Request Agent" Enhanced Key Usage mit in die Liste der erweiterten Schlüsselverwendungen aufgenommen wird, da die Registration Authority (RA) Zertifikate des NDES immer von der gleichen Zertifizierungsstelle kommen müssen.

Weiterführende Links:

2 Gedanken zu „Gibt es eine Abhängigkeit des Registrierungsdienstes für Netzwerkgeräte (NDES) mit dem NTAuthCertificates Objekt?“

Kommentare sind geschlossen.

de_DEDeutsch