(Neu-) Installieren der Microsoft Standard Zertifikatvorlagen

Es kann Fälle geben, in welchen es notwendig ist, die Standard Microsoft-Zertifikatvorlagen zu installieren, bevor die erste Active Directory integrierte Zertifizierungsstelle (Enterprise Certification Authority) installiert wird, oder die Vorlagen neu zu installieren, beispielsweise weil sie beschädigt oder anderweitig verändert wurden.

Folgende Standard-Zertifikatvorlagen sind definiert:

ObjektnameAnzeigename (Englisch)
AdministratorAdministrator
CARoot Certification Authority
CAExchangeCA Exchange
CEPEncryptionCEP Encryption
ClientAuthAuthenticated Session
CodeSigningCode Signing
CrossCACross Certification Authority
CTLSigningTrust List Signing
DirectoryEmailReplication Directory Email Replication
DomainControllerDomain Controller
DomainControllerAuthenticationDomain Controller Authentication
EFSBasic EFS
EFSRecoveryEFS Recovery Agent
EnrollmentAgentEnrollment Agent
EnrollmentAgentOfflineExchange Enrollment Agent (Offline request)
ExchangeUserExchange User
ExchangeUserSignatureExchange User Signature
IPSECIntermediateOfflineIPSec (Offline Request)
IPSECIntermediateOnlineIPSec
KerberosAuthenticationKerberos Authentication
KeyRecoveryAgentKey Recovery Agent
MachineComputer
MachineEnrollmentAgentEnrollment Agent (Computer)
OCSPResponseSigningOCSP Response Signing
OfflineRouterRouter (Offline Request)
RASandIASServerRAS and IAS Server
SmartcardLogonSmartcard Logon
SmartcardUserSmartcard User
SubCASubordinate Certification Authority
UserUser
UserSignatureUser Signature Onl
WebServerWeb Server
WorkstationWorkstation Authentication

Umsetzung

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Die Zertifikatvorlagen neu zu installieren bedeutet, sie zu löschen und dann neu anzulegen. Zum Löschen muss man über Enterprise Administrator Berechtigungen verfügen.

Die Löschung selbst nimmt man mit dem ADSI Editor (adsiedit.msc) vor.

Man verbindet sich auf die Configuration Partition.

Die Zertifikatvorlagen befinden sich unter ServicesPublic Key Services

…unterhalb CN=Certificate Templates. Hier kann man nun alle oder einzelne Zertifikatvorlagen markieren und mit Rechtsklick löschen.

Um die Standard-Zertifikatvorlagen neu zu installieren, gibt es einen entsprechenden certutil Befehl:

certutil -installdefaulttemplates

Bitte beachten, dass der Befehl mit Enterprise Administrator-Rechten ausgeführt werden muss.

Weiterführende Links:

Externe Quellen

de_DEDeutsch