Hallo Zertifizierungsstellen Admins ;)

neulich stieß ich auf ein kleinen Fehler beim ausstellen von Zertifikaten in einer zweischichtigen Zertifizierungshierarchie. Bereits vorhanden war eine Offline-Stamm-CA, selbstverständlich als nicht AD-Mitglied. Zudem eine Unternehmens-Sub-CA, die ausstellende Zertifizierungsstelle.

CAs

Ich habe gemäß meiner eigenen Anleitung eine neue Zertifikatsvorlage erstellt : https://asichel.de/active-directory-zertifikatsdienste-ad-cs-extended-validation/

Wollte ich anhand dieses nun ein neuen Zertifikat ausstellen, bspw. in der Zertifizierungsstellen-Webregistrierung kam es zu einem Fehler: Ungültige Ausstellungsrichtlinien (Ereignisanzeige: Event ID 53):

Extenden Validation Anforderung fehlgeschlagen

Worin lag nun das Problem? Ich habe mir also das Zertifikat von der SubCA in den Eigenschaften dieser anzeigen lassen. Tatsächlich, dort steht: Alle Anwendungsrichtlinien (Bild 4). Was allerdings fehlt ist der Punkt: allen Ausstellungsrichtlinien. Um dies zu beheben müssen folgende Schritte ausgeführt werden:

Schritt 1 – Anpassung an der Sub CA – CAPolicy.inf

Damit ich mein gewünschtes Ziel erreiche muss ich eine Konfigurationsdatei mit dem Namen „CAPolicy.inf“ auf der Sub CA im Verzeichnis „C:\Windows“ mit folgendem Inhalt speichern:

[Version]
Signature = "$Windows NT$"

[PolicyStatementExtension]
Policies = AllIssuancePolicy
Critical = FALSE

[AllIssuancePolicy]
OID = 2.5.29.32.0

Nachdem die Datei im Windows Verzeichnis erstellt wurde, muss die Zertifizierungsstelle neu gestartet werden!

Schritt 2 – Anforderung erneut senden

  1. Anmeldung an der Sub CA
  2. Rechtsklick Sub CA–> Alle Aufgaben –> Zertifizierungsstellenzertifikat erneuern (Bild 5)
  3. Hinweismeldung mit „JA“ bestätigen (Bild 6)
  4. Signaturschlüssel erneuern mit „Nein“ bestätigen (Bild 7)
  5. Anforderung an eine Online CA senden – i.d.R. nicht, da die Root CA „Offline“ ist – „Abbrechen“ wählen (Bild 8)
  6. Auf Laufwerk C:\ liegt nun die *.req-Datei (Bild 9)
  7. Fertig

Schritt 3 – Anforderung einreichen und austellen

  1. Anmeldung auf der Root CA
  2. Rechtsklick Root CA –> Alle Aufgaben –> Neue Anforderung einreichen (Bild 10)
  3. Die *.req-Datei angeben (Schritt 2.6)
  4. Zu Ausstehenden Anforderungen wechseln, die neue Anforderung erscheint (Bild 11)
  5. Rechtsklick auf die ausstehende Anforderung –> Alle Aufgaben –> Ausstellen (Bild 12)
  6. Zu Ausgestellte Zertifikate wechseln –> Zertifikat mit der Anforderungs-ID (Schritt 3.5) erscheint (Bild 13)
  7. Via Doppelklick öffnen –> In den Zertifikatsinformationen ist zu sehen (Bild 14):
    • Alle ausgegebenen Richtlinien
    • Alle Anwendungsrichtlinien
  8. Zu der Registerkarte „Details“ im geöffnetem Zertifikat wählen
  9. Auf „In Datei kopieren“ klicken
    1. Willkommensassistent –> Weiter
    2. Syntaxstandard… auswählen –> Weiter (Bild 15)
    3. Datei am beliebigen Speichertort abspeichern (ist eine *.p7b-Datei)
    4. Weiter –> Fertig stellen
    5. Exportvorgang erfolgreich abgeschlossen
    6. Fertig
Sollte das Zertifikat nur die Gültigkeit von einem Jahr haben (Standard), so kann mit folgendem Befehl auf der Root CA der Gültigkeitszeitraum (bspw. auf 10 Jahre) verlängert werden:

certutil -setreg CA\ValidityPeriodUnits 10

Schritt 4 – Zertifikatsanforderung abschließen

  1. Anmeldung auf der Sub CA
  2. Rechtsklick Sub CA –> Alle Aufgaben –> Zertifizierungsstellenzertifikat installieren (Bild 16)
  3. Hinweismeldung mit „Ja“ bestätigen
  4. Zertifikatsdatei (Schritt 3.9.3) angeben
  5. Eigenschaften der Sub CA öffnen –> Das Zertifikat mit der höchsten Nummer auswählen –> Zertifikat anzeigen (Identisch zu Bild 14)
  6. Fertig

Nach Durchführung der Schritte funktioniert auch meine Anleitung wieder und Zertifikate werden Korrekt ausgestellt (Bild 17)

 Über GPOs wird das Root CA Zertifikat verteilt, in diesem wird die OID hinterlegt!

Wie üblich folgen alle Bilder in der Übersicht:

Viel Erfolg bei der Umsetzung, ich hoffe der Artikel hat geholfen. Der Artikel darf gern geteilt werden :)

Andi