Kategorie: Zertifikat-Benutzung

Manuelle Beantragung eines Remotedesktop (RDP) Zertifikats

Es gibt Fälle, in welchen man Remotedesktop-Zertifikate nicht von einer Zertifizierungsstelle in der eigenen Active Directory Gesamtstruktur beziehen kann oder möchte, beispielsweise wenn das betreffende System kein Domänenmitglied ist.

In diesem Fall ist die Verwendung von Zertifikatvorlagen nicht möglich, und man muss manuell einen Zertifikatantrag (Certificate Signing Request, CSR erstellen).

„Manuelle Beantragung eines Remotedesktop (RDP) Zertifikats“ weiterlesen

Die Erstellung einer manuellen Zertifikatanforderung schlägt fehl mit Fehlermeldung "Expected INF file section name 0xe0000000"

Folgendes Szenario angenommen:

  • Es wird eine Informationsdatei für eine manuelle Zertifikatanforderung erstellt.
  • Die Erstellung der Zertifikatanforderung unter Verwendung der Datei schlägt mit folgender Fehlermeldung fehl:
Expected INF file section name 0xe0000000 (INF: -536870912)
„Die Erstellung einer manuellen Zertifikatanforderung schlägt fehl mit Fehlermeldung "Expected INF file section name 0xe0000000"“ weiterlesen

Eine manuell erstellte Zertifikatanforderung an eine Zertifizierungsstelle senden

Liegt eine Zertifikatanforderung, beispielsweise nach manueller Erzeugung, in Form einer Textdatei (üblicherweise mit Endung .CSR oder .REQ) vor, kann diese mit Bordmitteln an die Zertifizierungsstelle gesendet werden.

„Eine manuell erstellte Zertifikatanforderung an eine Zertifizierungsstelle senden“ weiterlesen

Chrome und Safari limitieren SSL Zertifikate auf ein Jahr Gültigkeit

Apple hat vor kurzem angekündigt, dass der Safari-Browser künftig nur noch Zertifikate mit einer Gültigkeit von 398 Tagen akzeptieren wird, sofern diese ab 1. September 2020 ausgestellt wurden.

Mozilla und Google wollen in ihren Browsern ein vergleichbares Verhalten implementieren. Es stellt sich also die Frage, ob diese Änderung Auswirkungen auf interne Zertifizierungsstellen haben wird – ob künftig also auch interne SSL-Zertifikate diese Regeln befolgen müssen, wie es beispielsweise bei der Erzwingung des RFC 2818 durch Google der Fall war.

„Chrome und Safari limitieren SSL Zertifikate auf ein Jahr Gültigkeit“ weiterlesen

Mehr als ein gemeinsamer Name (Common Name, CN) im Zertifikat

Heutzutage eher eine Kuriosität als wirklich praxisrelevant, aber es kommt hin und wieder vor, dass man Zertifikatanforderungen erhält, welche mehr als einen gemeinsamen Namen (Common Name) im Betreff (Subject) beinhalten. Auch wenn es erstaunlich wirken mag, dies ist durchaus möglich und auch RFC-konform.

„Mehr als ein gemeinsamer Name (Common Name, CN) im Zertifikat“ weiterlesen

Überprüfen der Verbindung zum privaten Schlüssel eines Zertifikate (z.B. bei Einsatz eines Hardware Security Moduls)

Für einen Fuktionstest, oder bei einer Fehlersuche kann es sinnvoll sein, zu überprüfen, ob der private Schlüssel eines Zertifikats verwendbar ist. Ist der Schlüssel beispielsweise mit einem Hardware Security Modul (HSM) gesichert, gibt es deutlich mehr Abhängigkeiten und Möglichkeiten für Fehler als bei einem Software-Schlüssel.

„Überprüfen der Verbindung zum privaten Schlüssel eines Zertifikate (z.B. bei Einsatz eines Hardware Security Moduls)“ weiterlesen

Planung von Zertifikat-Gültigkeit und Erneuerungs-Zeitraum von End-Entitäts-Zertifikaten mit Autoenrollment

Wird Autoenrollment verwendet, beantragen die Teilnehmer selbständig Zertifikate und erneuern diese auch selbständig.

Betreffend der Gültigkeit der Zertifikate und des Zeitraums für ihre automatische Erneuerung gibt es zwei Werte, die im Karteireiter "General" einer Zertifiikatvorlage konfiguriert werden können:

  • Gültigkeitszeitraum (Validity period): Beschreibt die Gesamt-Gültigkeit des ausgestellten Zertifikats.
  • Erneuerungszeitraum (Renewal period): Beschreibt, ab welchem Zeitfenster, rückwärts betrachtet vom Ablaufdatum des Zertifikats, die automatische Erneuerung erstmals versucht wird (z.B. 6 Wochen vor Ablauf).
„Planung von Zertifikat-Gültigkeit und Erneuerungs-Zeitraum von End-Entitäts-Zertifikaten mit Autoenrollment“ weiterlesen

Zertifikate für Domänencontroller enthalten nicht den Domänennamen im Subject Alternative Name (SAN)

Folgendes Szenario angenommen:

  • Es werden Zertifikate für Domänencontroller von einer Active Directory integrierten Zertifizierungsstelle (Enterprise CA) ausgestellt
  • Die hierfür verwendete Zertifikatvorlage wurde selbst erzeugt
  • Die ausgestellten Zertifikate enthalten im Subject Alternative Name (SAN) nur den vollqualifizierten Computernamen des jeweiligen Domänencontrollers, jedoch nicht den vollqualifizierten Namen und den NETBIOS Namen der Domäne
„Zertifikate für Domänencontroller enthalten nicht den Domänennamen im Subject Alternative Name (SAN)“ weiterlesen

Die Beantragung eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung "The certification authority’s certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)"

Folgendes Szenario angenommen:

  • Es wird ein Zertifizierungsstellen-Zertifikat von einer Zertifizierungsstelle beantragt
  • Die Zertifikatanforderung schlägt mit folgender Fehlermeldung fehl:
The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)
Denied by Policy Module
„Die Beantragung eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung "The certification authority’s certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)"“ weiterlesen

Einschränkung der Pfadlänge (Path Length Constraint) für von einer Zertifizierungsstelle ausgestellte Zertifikate konfigurieren

Für eine stärkere Kontrolle über die von einer Zertifizierungsstelle ausstellbaren Zertifikate kann eine Einschränkung der Pfadlänge (Path Length Constraint) eingerichtet werden, sodass Zertifizierungsstellen ab einer definierten Hierarchieebene nicht mehr in der Lage sind untergeordnete Zertifizierungsstellen-Zertifikate auszustellen

Für eine Erklärung der Funktionsweise der Einschränkung der Pfadlänge siehe Artikel "Grundlagen: Einschränkung der Pfadlänge (Path Length Constraint)".

„Einschränkung der Pfadlänge (Path Length Constraint) für von einer Zertifizierungsstelle ausgestellte Zertifikate konfigurieren“ weiterlesen

Konfigurieren einer Zertifikatvorlage für Remotedesktop (RDP) Zertifikate

Für die Verwendung von Remotedesktop-Zertifikaten ist es erforderlich, eine entsprechende Zertifikatvorlage zu konfigurieren.

„Konfigurieren einer Zertifikatvorlage für Remotedesktop (RDP) Zertifikate“ weiterlesen

Identifizieren des aktiven Remotedesktop (RDP) Zertifikats

Hat man eine Zertifikatvorlage für Remotedesktop-Zertifikate und eine entsprechende Gruppenrichtlinine konfiguriert, oder ein Remotedesktop-Zertifikat manuell zugewiesen, möchte man vielleicht überprüfen, ob die Zertifikate auf den teilnehmenden Computern auch korrekt vom Remotedesktop-Sitzungshost verwendet werden.

„Identifizieren des aktiven Remotedesktop (RDP) Zertifikats“ weiterlesen

Konfigurieren einer Gruppenrichtlinie (GPO) für Remotedesktop (RDP) Zertifikate

Nachdem eine Zertifikatvorlage für die Verteilung von Remotedesktop-Zertifikaten konfiguriert wurde (siehe Artikel "Konfigurieren einer Zertifikatvorlage für Remotedesktop (RDP) Zertifikate"), wird noch eine Gruppenrichtlinie benötigt, welche die teilnehmenden Computer anweist, die von der Vorlage stammenden Zertifikate auch zu verwenden.

„Konfigurieren einer Gruppenrichtlinie (GPO) für Remotedesktop (RDP) Zertifikate“ weiterlesen

Wiederherstellung eines Zertifizierungsstellenzertifikats mit Hardware Security Modul (HSM)

Nachfolgend wird die Wiederherstellung eines Zertifizierungsstellen-Zertifikats mit Software-Schlüssel beschrieben.

Die Wiederherstellung des Zertifizierungsstellen-Zertifikats kann aus folgenden Gründen notwendig sein:

„Wiederherstellung eines Zertifizierungsstellenzertifikats mit Hardware Security Modul (HSM)“ weiterlesen

Wiederherstellung eines Zertifizierungsstellenzertifikats mit Software-Schlüssel

Nachfolgend wird die Wiederherstellung eines Zertifizierungsstellen-Zertifikats mit Software-Schlüssel beschrieben.

Die Wiederherstellung des Zertifizierungsstellen-Zertifikats kann aus folgenden Gründen notwendig sein:

„Wiederherstellung eines Zertifizierungsstellenzertifikats mit Software-Schlüssel“ weiterlesen
de_DEDeutsch
en_USEnglish de_DEDeutsch