Kategorie: Zertifikat-Benutzung

Beschreibung des Flags EDITF_ADDOLDKEYUSAGE

Wenn man eine untergeordnete Zertifizierungsstelle installiert, stößt man unter Umständen auf folgendes Verhalten:

  • Man beantragt eine Key Usage Erweiterung, die beispielsweise als kritisch markiert ist, oder nicht DigitalSignature beinhaltet.
  • Das von der übergeordneten Zertifizierungsstelle ausgestellte Zertifikat beinhaltet jedoch DigitalSignature, und die Key Usage Erweiterung ist als nicht-kritisch markiert.
  • Bei der übergeordneten Zertifizierungsstelle handelt es sich um eine Standalone-Zertifizierungsstelle, d.h. ohne Active Directory Integration.
„Beschreibung des Flags EDITF_ADDOLDKEYUSAGE“ weiterlesen

Wie sicher ist die Einstellung "Allow private key to be exported" in den Zertifikatvorlagen?

PKI-Administratoren gehen häufig davon aus, dass die Option in der Zertifikatvorlage , den privaten Schlüssel nicht zum Export zu erlauben, verbindlich ist.

„Wie sicher ist die Einstellung "Allow private key to be exported" in den Zertifikatvorlagen?“ weiterlesen

Importieren eines Zertifikats in eine Smartcard

Manchmal ist es erforderlich, ein Zertifikat, welches einen Software-Schlüssel verwendet, in eine Smartcards zu importieren.

„Importieren eines Zertifikats in eine Smartcard“ weiterlesen

Übersicht über die verschiedenen Generationen von Domänencontroller-Zertifikaten

Über die Generationen der Windows-Betriebssysteme wurden verschiedene Zertifikatvorlagen für Domänencontroller etabliert. In einem aktuellen Active Directory Verzeichnisdienst wird man drei verschiedene Vorlagen für diesen Zweck finden.

  • Domain Controller
  • Domain Controller Authentication
  • Kerberos Authentication

Nachfolgend eine Beschreibung der einzelnen Vorlagen und eine Empfehlung für die Konfiguration von Domänencontroller-Zertifikatvorlagen.

„Übersicht über die verschiedenen Generationen von Domänencontroller-Zertifikaten“ weiterlesen

certutil -dcinfo schlägt fehl mit Fehlermeldung "KDC certificates: Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)"

Folgendes Szenario angenommen:

  • Domänencontroller verfügen über Zertifikate für LDAP über SSL.
  • Die Zertifikate beinhalten weder das Extended Key Usage "Smart Card Logon" noch "Kerberos Authentication".
  • Führt man certutil -dcinfo aus, meldet der Befehl folgende Fehlermeldung:
0 KDC certificates for DC01
No KDC Certificate in MY store
KDC certificates: Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)
„certutil -dcinfo schlägt fehl mit Fehlermeldung "KDC certificates: Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)"“ weiterlesen

Manuelle Beantragung eines Domänencontroller-Zertifikats

Es gibt Fälle, in welchen man Domain Controller Zertifikate nicht von einer Zertifizierungsstelle in der eigenen Active Directory Gesamtstruktur beziehen kann oder möchte.

In diesem Fall ist die Verwendung von Zertifikatvorlagen nicht möglich, und man muss manuell einen Zertifikatantrag (Certificate Signing Request, CSR erstellen).

„Manuelle Beantragung eines Domänencontroller-Zertifikats“ weiterlesen

Die Beantragung eines Zertifikats für Domänencontroller schlägt fehl mit Fehlermeldung "The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)"

Folgendes Szenario:

  • Die Beantragung eines Zertifikats für einen Domänencontroller schlägt fehl.
  • Auf der Zertifizierungsstelle wird die Zertifkatanforderung bei den fehlgeschlagenen Anforderungen (failed Requests) protokolliert. Die Fehlermeldung lautet:
The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
„Die Beantragung eines Zertifikats für Domänencontroller schlägt fehl mit Fehlermeldung "The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)"“ weiterlesen
de_DEDeutsch
en_USEnglish de_DEDeutsch