Seit den Verwaltungstools für die Zertifikatdienste in Windows Server 2012 kann man beim Konfigurieren einer Zertifikatvorlage die gewünschte Kompatibilität für die Zertifizierungsstelle und Zertifikatempfänger auswählen.
Nachfolgend wird diese Funktion näher beschrieben, sowie auf mögliche Auswirkungen in der Praxis eingegangen.
Für eine Übersicht, welche Optionen bei Veränderung der einzelnen Kompatibilitätseinstellungen verfügbar werden siehe Artikel „Übersicht über die Verfügbarkeit von Optionen bei Veränderung der Kompatibilitätseinstellungen einer Zertifikatvorlage„ .
Die Kompatibilitätseinstellungen sind als Bitmaske im Attribut msPKI-Private-Key-Flag in der Zertifikatvorlage abgebildet.
Le site msPKI-Private-Key-Flag zwei untergeordnete Attribute:
- CTPRIVATEKEY_FLAG_SERVERVERSION_SHIFT
- CTPRIVATEKEY_FLAG_CLIENTVERSION_SHIFT
Mögliche Werte für CTPRIVATEKEY_FLAG_SERVERVERSION_SHIFT
| Système d'exploitation | Drapeau | Valeur |
|---|---|---|
| Standardeinstellung | TEMPLATE_SERVER_VER_NONE | 0 |
| Windows Server 2003 | TEMPLATE_SERVER_VER_2003 | 10000 (65536) |
| Windows Server 2008 | TEMPLATE_SERVER_VER_2008 | 20000 (131072) |
| Windows Server 2008 R2 | TEMPLATE_SERVER_VER_2008R2 | 30000 (196608) |
| Windows Server 2012 | TEMPLATE_SERVER_VER_WIN8 | 40000 (262144) |
| Windows Server 2012 R2 | TEMPLATE_SERVER_VER_WINBLUE | 50000 (327680) |
| Windows Server 2016 | TEMPLATE_SERVER_VER_THRESHOLD | 60000 (393216) |
Mögliche Werte für CTPRIVATEKEY_FLAG_CLIENTVERSION_SHIFT
| Système d'exploitation | Drapeau | Valeur |
|---|---|---|
| Standardeinstellung | EMPLATE_CLIENT_VER_NONE | 0 |
| Windows XP | TEMPLATE_CLIENT_VER_XP | 1000000 (16777216) |
| Windows Vista | TEMPLATE_CLIENT_VER_VISTA | 2000000 (33554432) |
| Windows 7 | TEMPLATE_CLIENT_VER_WIN7 | 3000000 (50331648) |
| Windows 8 | TEMPLATE_CLIENT_VER_WIN8 | 4000000 (67108864) |
| Windows 8.1 | TEMPLATE_CLIENT_VER_WINBLUE | 5000000 (83886080) |
| Windows 10 | TEMPLATE_CLIENT_VER_THRESHOLD | 6000000 (100663296) |
Abfrage des Attributs für eine Zertifikatvorlage
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Mit folgendem Kommandozeilenbefehl können die aktuell für eine Zertifikatvorlage konfigurierten Werte für die beiden Flags abgefragt werden:
certutil -v -template {Name-der-Vorlage} | findstr VERSION_SHIFT
Der Vorlagenname entspricht dem Namen des Active Directory Objektes, nicht dem Anzeigenamen.
Alternativ ist es auch möglich, das msPKI-Private-Key-Flag direkt auf dem pKICertificateTemplate Objekt im Active Directory abzufragen und auszuwerten.
certutil -v -ds "{DN-des-Template-Objekts}"
exemple :
certutil -v -ds "CN=ADCSLaborBenutzer,CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de"
Prüft man direkt nach einer Änderung an der Zertifikatvorlage sollte man den clientseitigen Cache mit certutil -pulse aktualisieren, um die aktuellsten Informationen angezeigt zu bekommen.
Français 
Deutsch 
English
Les commentaires sont fermés.