Konfigurieren einer Zertifikatvorlage für Domänencontroller

Auch bei einer vermeintlich simpel zu konfigurierenden Zertifikatvorlage für Domänencontroller gibt es einiges zu beachten.

Die Zertifikatvorlage sollte immer von der „Kerberos Authentication“ Zertifikatvorlage ausgehen.

Nur die Kerberos Authentcation Zertifikatvorlage enthält das Flag CT_FLAG_SUBJECT_ALT_REQUIRE_DOMAIN_DNS, welches dafür sorgt, dass der Domänenname in der Subject Alternative Name (SAN) Erweiterung des ausgestellten Zertifikats eingetragen wird. Siehe hierzu auch Artikel „Les certificats de contrôleur de domaine ne contiennent pas le nom de domaine dans le Subject Alternative Name (SAN).„ .

Configuration du modèle de certificat

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Fiche "Général

In der Karteikarte „General“ wird der Zertifikatvorlage ein aussagekräftiger Name zugewiesen. Hierbei sollte eine Namenskonvention angewendet werden, um die spätere Administration zu vereinfachen.

Fiche "Cryptographie

Hier können die Standardeinstellungen belassen werden. Auch wenn elliptische Kurven über Fournisseur de stockage clé (KSP) für die Active Directory Domänendienste verwendet werden können, gilt dies nicht für die Active Directory Web Services (ADWS), welche nur Cryptographic Service Provider unterstützen.

Es empfiehlt sich daher, den RSA Algorithmus mit mindestens 3072 Bit Schlüssellänge zu verwenden und einen Cryptographic Service Provider einzusetzen.

Karteikarte „Superseded Templates“

In der Karteikarte „Superseded Templates“ werden alle Standard-Zertifikatvorlagen für Domänencontroller sowie eventuelle eigene vorige Zertifikatvorlagen eingetragen. Die Standard-Zertifikatvorlagen für Domänencontroller sind:

Contrôleur de domaine
Authentification du contrôleur de domaine
Authentification Kerberos

Voir aussi à ce sujet l'article "Aperçu des différentes générations de certificats de contrôleur de domaine„ .

Karteikarte „Extensions“

Die „Application Policies“ Erweiterung wird bearbeitet.

Folgende Einträge sollten grundsätzlich entfernt werden:

Authentification du client
Connexion par carte à puce

Sollte es zur Ausstellung von gefälschten Domänencontroller-Zertifikaten (etwa durch einen NTLM Relay Angriff oder durch Fälschen eines entsprechenden Kontos) können die Zertifikate nicht für eine PKINIT Anmeldung im Namen des Domänencontrollers verwendet werden (was andernfalls die Kompromittierung des Active Directory zur Folge haben könnte).

Sofern man PKINIT (auch bekannt als Smartcard Logon) im gesamten Unternehmen nicht verwenden möchte, ist es darüber hinaus auch empfehlenswert, das Extended Key Usage für „KDC“ Authentication aus der Zertifikatvorlage zu entfernen, sodass die Domänencontroller grundsätzlich keine solchen Anmeldungen verarbeiten können.

Sollte es zur Ausstellung gefälschter Benutzerzertifikaten kommen (etwa durch zu weitläufige Berechtigungen auf einer Zertifikatvorlage, einer unsicher konfigurierten Zertifizierungsstelle oder gar deren Kompromittierung), ist es dann nicht möglich, sich mit diesen anzumelden (was andernfalls die Kompromittierung des Active Directory zur Folge haben könnte).

Voir aussi à ce sujet l'article "Vecteur d'attaque sur le service d'annuaire Active Directory via le mécanisme de connexion par carte à puce„ .

Fiche "Nom du sujet

Die Option wird im Artikel „Sur l'option "Build this from Active Directory information" pour les modèles de certificats“ näher beschrieben.

Aus Kompatibilitätsgründen ist es empfehlenswert, im Karteireiter „Subject Name“ noch einzustellen, dass das Subject der ausgestellten Zertifikate mit dem Servernamen des Domänencontrollers befüllt wird (Option „Common Name“).

In der Standardeinstellung wird das Subject leer sein, was absolut konform zum RFC 4514 ist.

The client determines the type (e.g., DNS name or IP address) of the reference identity and performs a comparison between the reference identity and each subjectAltName value of the corresponding type until a match is produced.
RFC 4513 – Lightweight Directory Access Protocol (LDAP): Authentication Methods and Security Mechanisms

The server’s identity may also be verified by comparing the reference identity to the Common Name (CN) [RFC4519] value in the leaf Relative Distinguished Name (RDN) of the subjectName field of the server’s certificate. […] Although the use of the Common Name value is existing practice, it is deprecated, and Certification Authorities are encouraged to provide subjectAltName values instead.
RFC 4513 – Lightweight Directory Access Protocol (LDAP): Authentication Methods and Security Mechanisms

Anwendungen, die allerdings nicht zu diesem RFC konform sind (und solche gibt es in der Praxis durchaus), werden das Zertifikat jedoch nicht verarbeiten können.

Ist ein Subject mit dem Servernamen des Domänencontrollers befüllt, und die Anwendung ist konform zu RFC 4513, wird das Subject ohnehin ignoriert, sodass kein Nachteil entsteht.

Fiche "Sécurité

Im Karteireiter „Security“ sollte unbedingt darauf geachtet werden, dass nur der hierfür berechtigte Personenkreis die Zertifikatvorlage bearbeiten peut.

Die Rechte für die Zertifikatbeantragung können von der zugrundeliegenden „Kerberos Authentication“ Zertifikatvorlage übernommen werden.

Liens complémentaires :

Sources externes

RFC 4513 – Lightweight Directory Access Protocol (LDAP): Authentication Methods and Security Mechanisms (Internet Engineering Task Force)
RFC 2818 - HTTP sur TLS (Internet Engineering Task Force)