Wie stelle ich Zertifikate um?

divus · 11. November 2019 um 15:51

Bei uns liegt momentan folgender Sachverhalt vor.

In unserer Domain werden automatisch Zertifikate ausgerollt. Im MMC -> Zertifikate werden diese unter „Active-Directory-Benutzerobjekte“ abgelegt.

Jetzt sollte es doch eigentlich möglich sein bspw. .pdf-Dateien Mithilfe dieses Zertifikates digital zu signieren, so dass alle Benutzer, die in der gleichen Domäne sind, die Signatur auf Gültigkeit überprüfen können.
Das war zumindest mein Gedankengang.

Allerdings finde ich im Internet keine wirklich brauchbare Antwort. Und auch die Bücher die ich bei Amazon überflogen habe, scheinen auf dieses Thema nicht richtig einzugehen.
Jetzt wäre meine Frage, ob dies überhaupt möglich ist und wenn ja, wie?

Bei uns ist es nämlich scheinbar so, dass ich mit diesen Zertifikaten nichts signieren kann. Deswegen müsste ich wissen, ob und wo man dies einstellen kann.

Ein Link oder eine ISBN würden mir auch reichen.

Danke und Gruß
divus

nighti · 11. November 2019 um 15:53

Hallo,

wenn du von X509 Zertifikaten spricht, dann kann mit einem „Zertifikat“ (in dem Falle meinst du wohl mit dem PrivateKey des Zertifiaktes) signiert werden, wenn die Extension (X509 V3Extension) „Keyusage“ den Wert „digitalSignature“ enthält [1]

Und „so einfach“ kann man dieses Attribut nicht hinzufügen, denn dazu muss das Zertifikat neu ausgestellt werden. Wenn ihr eure Zertifikate selber ausstellt ist das kein wirkliches Problem.

mfg

[1] http://www.ietf.org/rfc/rfc5280.txt 4.2.1.3. Key Usage

nighti · 11. November 2019 um 15:54

dann kann mit einem
„Zertifikat“ (in dem Falle meinst du wohl mit dem PrivateKey
des Zertifiaktes)

Das könnte missverstanden werden: ein Zertifikat hat *keinen* Privatekey gespeichert sondern einen Publickey. Mit meinem Satz meinte ich, dass du nur mit dem Privatekey der zu einem Zertifikat gehört signieren kannst.

mfg

divus · 11. November 2019 um 16:07

Hallo,

dass ich das Zertifikat neu ausstellen muss war mir klar. Allerdings bin ich mir nicht sicher wo ich dieses Attribut hinzufügen kann. Für Linux gibt es dafür haufenweise Dokumentation im Netz. Aber wir benutzen (leider) Windows 2003 Server.

Die Zertifikate erstellen wir selber, da sie nur intern in der Firma genutzt werden sollen.

Gruß divus

nighti · 11. November 2019 um 16:18

Hi,

wie du Zertifikate mit dem WS 2003 ausstellst weiss ich nicht genau, ich könnte es dir nur auf Sourcecodelevel (Java) sagen.

mfg

divus · 11. November 2019 um 16:23

Um das ganze ein bischen besser zu verstehen, versuche ich das ganze jetzt mittels virtueller Maschinen nachzustellen.

An den normalen Domänenrechnern ist es so, dass ich Zertifikate von der Domäne erhalte, die unter Active Directory-Benutzerobjekt abgelegt werden.

Das versuche ich jetzt nachzustellen.

Ich habe einen 2003 Enterprise Server mit CA als DomäneController angelegt.

In den Zertifikatsvorlagen habe ich eine Kopie von „User“ erzeugt und diese bei „Certificate Template to Issue“ eingefügt.
Domänenbenutzerberechtigung ist bei Lesen, Ausrollen und Autoausrollen.

In den Gruppenrichtlinien ist unter Public-Key-Policies -> Autoenrollment Settings auch alles aktiviert.

Aber es scheint nicht so recht zu funktionieren. Die GPO werden übernommen, aber ich bekomme auf dem Client nur das Stammzertifikat übertragen.

Habe ich irgendetwas vergessen?

Gruß und danke
Divus