CA Templates

Windows Enterprise Änderungen an Templates mit einer Windows CA werden nur von einer Windows Enterprise CA unterstützt. Mit einer Windows Standard CA können Sie keine eigenen Templates verwalten.

Windows 2008 Enterprise Templates (Version 3) werden aktuell noch nicht in der Web Enrollment Seite angezeigt. Abhilfe: Definieren Sie neue Templates als Windows 2003 Enterprise Template (Version 2)

Wie sie vielleicht auf Zertifikate im AD bereits gesehen haben, gibt es eine ganze Menge unterschiedlicher Zertifikate, die sich primäre in den enthaltenen Feldern und deren Werten unterscheiden. für eine Zertifizierungsstelle ist es erforderlich, die Einhaltung bestimmter Werte abzusichern. Dazu gehören:

  • Verwendungszweck
    Es muss sichergestellt sein, dass das ausgestellte Zertifikat nur für den zugelassenen Einsatzzweck verwendet werden kann. Wer also ein Webserver-Zertifikat hat, sollte damit keine Mails signieren können.
  • Beantragter Name
    Dann muss sichergestellt sein, dass die Identität des Zertifikats (z.B. die Mailadresse) auch wirklich mit dem Antragsteller übereinstimmt und in den richtigen Feldern und der richtigen Schreibweise vorliegt.
  • Minimale Schlüssellänge
    Früher wurden war nur 1024-Bit Schlüssel verwendet. Mittlerweile sollten Sie als minimale Schlüssellänger 2048bit vorgeben, da kürzere Schlüssel vermutlich in absehbarer Zeit durch die Rechenleitung von Grafikkarten oder Cloud Computer wirtschaftlich geknackt werden können.
  • Gültigkeitsdauer
    Zudem kann die CA bestimmen, wie lange das Zertifikat gültig ist. Das ist besonders bei kommerziellen CAs relevant, die natürlich ihre Preisliste auch daran ausrichten.
  • Optionale Felder
    Die CA kann bzw. muss auch steuern, welche zusätzliche Felder der Antragsteller mit in das Zertifikat packen darf. Dazu zählen die "Subject Alternate Names" genauso wie Hinweise auf die Zertifikatsrichtlinien etc.
  • Berechtigung
    Bei einer Windows CA können Sie über Benutzern und Gruppen auch Berechtigungen steuern, wer welche Zertifikate überhaupt beantragen und vielleicht automatisch erhalten darf
  • Privater Schlüssel
    Normalerweise "rechnet" ein Client selbst den privaten und öffentlichen Schlüssel und lässt sich einfach den öffentlichen Schlüssel mit den zusätzlichen Informationen von der Zertifizierungsstelle signieren. Werden aber Mails oder Dateien damit "verschlüsselt", dann ist es für die Firma sehr wichtig, den privaten Schlüssel notfalls wieder herstellen zu können (z.B.: wenn der PC verloren geht). Über die Vorlage kann eine Firma fordern, dass der private Schlüssel auf der CA hinterlegt wird bzw. die CA den privaten Schlüssel rechnet. (Key Escrow, Key Recovery)

Dies sollten die wichtigsten Parameter sein, die bei einer Windows CA einfach über verschiedene Vorlagen (Templates) zusammengefasst werden.

CA Templates

Sobald Sie daher eine Windows CA installieren, werden auch automatisch die entsprechenden Vorlagen im Active Directory (nur bei AD-Integrierter CA) hinterlegt. Diese Vorlagen können sie sehr einfach mit ADSIEDIT finden.

Zum Bearbeiten sollten Sie aber nicht mit ADSIEDIT weiter machen, sondern die MMC für Zertifikatsvorlagen nutzen, welche mit auf dem Server installiert wird und auch in den Admintools enthalten ist: Hier sehen Sie übersichtlich alle Vorlagen und können neue Vorlagen anlegen oder bestehende kopieren und dann anpassen. Die Standardvorlagen selbst sollten sie nicht ändern.

Wenn Sie also z.B. eine eigene Vorlage für "Firmenwebserver" anlegen wollen, dann kopieren Sie einfach die "Webserver"-Vorlage und ändern die Kopie dann ab. Häufig ändern die Firmen z.B. die Gültigkeitsdauer von 1 Jahr auf vielleicht 5 Jahre. Beim internen Einsatz dürften Sie sich so das Risiko einer Betriebsstörung durch den Ablaufs nach einem Jahr und die Arbeit einer jährlichen "Erneuerung" auf den verschiedenen Servern ersparen. Allerdings erfordern bestimmte Zertifikate (z.B. RADIUS aber auch eigene Vorlagen) die Installation der Windows CA auf einem Enterprise Server.

Berechtigungen

Wer nun welches Zertifikat anfordern darf wird nicht auf der Zertifizierungsstelle selbst konfiguriert, sondern eben auf den Zertifikatsvorlagen. Dabei gibt es zwei Rechte zu unterscheiden:

  • Ausstellen / Enroll
    Wer dieses recht hat, kann eine Zertifikatsanforderung an alle Zertifizierungsstellen einreichen, die diese Vorlage verknüpft haben. Allerdings muss der Zertifikatsadministrator den Antrag erst "bestätigen":  Er kann also über andere Weg manuell prüfen, ob der Antragsteller dieses Zertifikat erhalten soll
  • AutoEnroll
    Hiermit erlaubt der CA-Administrator, dass diese Zertifikate von den berechtigten Benutzern nicht nur eingereicht sondern von der CA auch direkt ausgestellt werden  Dies ist bei der Windows CA z.B.: für Benutzer und Computerzertifikate für alle angemeldeten Benutzer und Computer der Fall. Webserverzertifikate können z.B. Administratoren automatisch erhalten.

Sie sollten also vorher ihre Bedürfnisse bezüglich der Berechtigungen prüfen und definieren und erst dann die Vorlagen und ihre Zertifizierungsstelle installieren und konfigurieren.

Zuweisung von Templates zur CA

Allein die Existenz von entsprechenden Vorlagen im Active Directory reicht noch nicht aus, dass eine Zertifizierungsstelle diese auch ausstellen kann. Dazu müssen Sie erst die "Verknüpfung" bei der Zertifizierungsstelle pflegen. Erst dann können die berechtigten Personen auch die Zertifikatsvorlagen nutzen. Zum Glück sind die gebräuchlichen Standard-Vorlagen schon automatisch mit der Installation der Zertifizierungsstelle verknüpft.

Wenn Sie aber eigene Vorlagen erstellen bzw. bestehende kopieren und abwandeln, dann müssen Sie diese neuen Vorlagen mit den gewünschten Berechtigungen verstehen und an die Zertifizierungsstelle binden.

Spätestens hier werden Sie dann sicher bemerken, dass Sie auf einer Windows Standard Server CA nicht nicht alle Zertifikatsvorlagen verbinden können. für die Nutzung eigener oder angepasster kopierter Vorlagen erfordert Microsoft den Einsatz von Windows Enterprise Server.

Da die Berechtigungen aber an den Vorlagen und nicht an der CA hängen, werden manchmal einfach mehrere Zertifizierungsstellen installiert, z.B.: damit eine CA nur Computerzertifikate (für 802.1x) ausstellt und die Zertifizierungsstelle für Webserverzertifikate oder E-Mail-Zertifikate auf einem anderen System mit höherem Schutzbedarf betrieben wird. Gerade beim Einsatz von EFS und S/MIME ist es durchaus wichtig, auch den privaten Schlüssel zu "sichern".

Einstellungen pro Zertifikat

Über die Vorlage kann man als CA-Administrator auch steuern, welche Inhalte enthalten sein müssen. Hier am Beispiel der Vorlage für "Benutzer".

Da man die Standardvorlage nicht ändern kann, sind die Felder natürlich "grau"

Weitere Links

  • 811418 "No Certificate Templates Could Be Found" error message when a user requests certificate from CA Web enrollment pages