Der Onlineresponder (OCSP) beantragt alle vier Stunden neue Signaturzertifikate

Folgendes Szenario angenommen:

  • Die Online Responder sind konfiguriert, Signaturzertifikate anhand einer Zertifikatvorlage von einer Active Directory integrierten Zertifizierungsstelle zu beantragen.
  • Die Online Responder beantragen in regelmäßigen Abständen (alle vier Stunden) ein neues Signaturzertifikat, obwohl das bestehende Zertifikat noch ausreichend lange gültig ist.

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Der Online Responder (Online Certificate Status Protocol, OCSP) ist eine alternative Möglichkeit, Sperrstatusinformationen für Zertifikate bereitzustellen. Entitäten, die den Sperrstatus eines Zertifikats überprüfen möchten, müssen dank OCSP nicht die komplette Liste aller widerrufenen Zertifikate herunterladen, sondern können gezielt eine Anfrage für das betreffende Zertifikat an den Online Responder stellen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Online Responder (Online Certificate Status Protocol, OCSP)".

Ursache

Der Online Responder wertet das Feld "Certificate Template Information" aus, um zu bestimmen, ob er bereits ein Zertifkat von einer bestimmten Zertifikatvorlage erhalten hat.

Im vorliegenden Fall wurde die Zertifizierungsstelle so konfiguriert, dass diese Erweiterung nicht in die ausgestellten Zertifikate geschrieben wird.

Ob eine Zertifizierungsstelle entsprechend konfiguriert ist, bestimmte Erweiterungen nicht in die ausgestellten Zertifikate zu schreiben, kann mit folgendem Befehl geprüft werden:

certutil -getreg policy\DisableExtensionList 

Mit folgenden Befehlen können die Objekt Identifier (OIDs) aus der Liste entfernt werden:

certutil -setreg policy\DisableExtensionList -1.3.6.1.4.1.311.20.2
certutil -setreg policy\DisableExtensionList -1.3.6.1.4.1.311.21.7

Anschließend ist ein Neustart des Zertifizierungsstellen-Dienstes erforderlich, um die Konfiguration anzuwenden. Die Online Responder sollten nun noch einmalig neue Zertifikate beantragen und diese bis kurz vor deren Ablauf verwenden.

Weiterführende Links:

de_DEDeutsch