Vous trouverez ci-dessous un aperçu des jetons pour la configuration CDP et AIA d'une autorité de certification.
| Token | Nom | Description |
|---|---|---|
| %1 | ServerDNSName | Der vollqualifizierte DNS-Name des Servers, auf welchem die Zertifizierungsstelle installiert ist. |
| %2 | ServerShortName | Der NETBIOS-Name des Servers, auf welchem die Zertifizierungsstelle installiert ist. |
| %3 | CaName | Der Common Name (CN) der Zertifizierungsstelle. |
| %4 | CertificateName | Der Zertifikat-Index ffür den Namen des Zertifizierungsstellen-Zertifikats. |
| %6 | ConfigurationContainer | Der Pfad zum Configuration Container der Active Directory Gesamtstruktur. |
| %7 | CATruncatedName | Name der Zertifizierungsstelle begrenzt auf 32 Zeichen, mit einer Prüfsumme. |
| %8 | CRLNameSuffix | Der Schlüssel-Index für dden Namen der Sperrlisten. |
| %9 | DeltaCRLAllowed | Wird für eine Delta-CRL durch ein „+“ ersetzt. |
| %10 | CDPObjectClass | Platzhalter für die cRLDistributionPoint Objektklasse im LDAP-Pfad der CRL Distribution Point Erweiterung.. |
| %11 | CAObjectClass | Platzhalter für die certificationAuthority Objektklasse im LDAP-Pfad der Authority Information Access (AIA) Erweiterung. |
Sinvolle Anpassungen
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
LDAP-Sperrlistenpfade agnostisch vom Hostnamen des Zertifizierungsstellen-Servers machen
In der Standardeinstellung wird bei der Installation einer Zertifizierungsstelle folgender LDAP-Pfad für die Sperrlistenveröffentlichung konfiguriert.
ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10
Das ServerShortName Token (%2) sorgt dafür, dass der LDAP-Pfad den NETBIOS-Namen des Zertifizierungsstellen-Servers beinhaltet. Dies kann zu Problemen bei Migration der Zertifizierungsstelle auf einen anderen Server bringen.
Ein einfacher Trick, dies zu umgehen, ist das Token durch CaName (%3) auszutauschen, welches den Common Name der Zertifizierungsstelle beschreibt.
ldap:///CN=%7%8,CN=%3,CN=CDP,CN=Public Key Services,CN=Services,%6%10
Die Einstellung wird in folgendem Registrierungs-Pfad vorgenommen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\{Name-der-Zertifizierungsstelle>\CRLPublicationURLs
Nachdem diese Konfigurationsanpassung erfolgt ist, muss der Zertifizierungsstellen-Dienst neu gestartet werden.
Außerdem muss der nun vom Standard abweichende LDAP-Pfad einmalig erstellt werden, indem man zuerst eine Sperrliste erzeugt und diese anschließend als Enterprise Administrator ins Active Directory veröffentlicht.
certutil -f -dspublish {Sperrliste>.crl
Beim Erstellen der Sperrliste wird das Événement n° 74 protokolliert, da die Zertifizierungsstelle direkt die Veröffentlichung ins LDAP versucht und zunächst scheitert. Nachdem die Sperrliste einmalig manuell hochgeladen wurde, tritt der Fehler aber nicht mehr auf.
Voir aussi à ce sujet l'article "Publication d'une liste de révocation de certificats (CRL) sur un point de distribution de listes de révocation (CDP) Active Directory„ .
Liens complémentaires :
- Konfiguration der Sperrlistenverteilpunkte (CDP) und der Authority Information Access (AIA) Erweiterung einer Zertifizierungsstelle
- Beschreibung der Erweiterungen „CRL Distribution Point“ (CDP) und „Authority Information Access“ (AIA)
Sources externes
- How CA Certificates Work (Microsoft)
Français 
Deutsch 
English
Les commentaires sont fermés.