none
Microsoft Server 2016 CA – private Key ist exportierbar RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo, <o:p></o:p>

    ich habe in meiner Testumgebung eine Microsoft CA (Windows Server 2016)
    aufgebaut und eine Clientzertifikatsvorlage (Maschinenzertifikat) bereit
    gestellt. Der private Key in dieser Vorlage ist nicht exportierbar. Ich erhalte
    das Zertifikat auf meinem WIN10 Client und ich kann den private Key nicht
    exportieren - soweit alles gut.<o:p></o:p>

    Wenn ich jetzt auf dem WIN Client das Zertifikat jetzt manuell das
    Zertifikat aktualisiere (Request Certificate with New Key...) kann ich in der
    Konfiguration auswählen: Make key exportable.<o:p></o:p>

    Ich erhalte von der CA ein neues Zertifikat und kann den private key
    wirklich exportieren. <o:p></o:p>

    Ich habe Adminrechte auf dem Client, nicht aber auf der CA. <o:p></o:p>

    Kenn jemand dieses Problem? Ich würde ja gerne Bilder zur
    Veranschaulichung hinzufügen aber MS erlaubt dies noch nicht. <o:p></o:p>

    Ludger<o:p></o:p>


    Dienstag, 8. September 2020 14:59
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Moin,

    es ist völlig egal, welche CA - ob der Private Key exportierbar ist, regelt die beantragende Instanz, in diesem Fall Deine Workstation. Der DoNotExport-Flag ist nämlich keine Eigenschaft des Zertifikats, sondern eine Eigenschaft des Private Key.

    Nehmen wir den manuellen Beantragungsvorgang aus einer Enterprise CA:

    1. der Admin wählt eine für den Computer berechtigte Vorlage aus. Daraus werden Rahmenparameter wie Schlüssellänge, Kryptographie usw. abgeleitet und für den nachfolgenden Vorgang übernommen.
    2. Vor dem Absenden des Antrags können sie *alle* noch angepasst werden.
    3. der Computer generiert einen CSR. *In diesem Moment* entsteht bereits das Key Pair inklusive des DoNotExport-Flags.
    4. Der CSR wird eingereicht
    5. Die CA signiert den CSR mit ihrem Private Key. Die CA weiß nichts davon, welche Flags für den Private Key gesetzt wurden.
    6. der Computer erhält das Zertifikat zurück und verknüpft es mit dem Private Key, der ja bereits im Store ist.

    Wenn also Deine Vorlage auf "Enrollment" statt "Autoenrollment" stehen würde, bräuchtest Du keinen Workaround mit dem Erneuern, sondern könntest das "Exportierbar markieren" bereits bei der Beantragung ankreuzen.

    Bei Autoenrollment entfällt einfach der Punkt 2 oben ;-)

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Dienstag, 8. September 2020 18:01
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Moin,

    es ist völlig egal, welche CA - ob der Private Key exportierbar ist, regelt die beantragende Instanz, in diesem Fall Deine Workstation. Der DoNotExport-Flag ist nämlich keine Eigenschaft des Zertifikats, sondern eine Eigenschaft des Private Key.

    Nehmen wir den manuellen Beantragungsvorgang aus einer Enterprise CA:

    1. der Admin wählt eine für den Computer berechtigte Vorlage aus. Daraus werden Rahmenparameter wie Schlüssellänge, Kryptographie usw. abgeleitet und für den nachfolgenden Vorgang übernommen.
    2. Vor dem Absenden des Antrags können sie *alle* noch angepasst werden.
    3. der Computer generiert einen CSR. *In diesem Moment* entsteht bereits das Key Pair inklusive des DoNotExport-Flags.
    4. Der CSR wird eingereicht
    5. Die CA signiert den CSR mit ihrem Private Key. Die CA weiß nichts davon, welche Flags für den Private Key gesetzt wurden.
    6. der Computer erhält das Zertifikat zurück und verknüpft es mit dem Private Key, der ja bereits im Store ist.

    Wenn also Deine Vorlage auf "Enrollment" statt "Autoenrollment" stehen würde, bräuchtest Du keinen Workaround mit dem Erneuern, sondern könntest das "Exportierbar markieren" bereits bei der Beantragung ankreuzen.

    Bei Autoenrollment entfällt einfach der Punkt 2 oben ;-)

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Dienstag, 8. September 2020 18:01
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo L_u_d_g_e_r,

    haben die Tipps weitergeholfen? Bitte markieren Sie den Beitrag, der zur Lösung geführt hat, als "Die Antwort"

    Wenn Sie eine andere Lösung gefunden haben, bitte teilen Sie sie der Community mit, sodass auch andere Benutzer als der Fragesteller davon profitieren können.

    Danke und Grüße,

    Mihaela

    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Mittwoch, 30. September 2020 18:32
    |
    Moderator