none
Zertifikate via MMC ignorieren die Alternativen Antragstellernamen RRS feed

  • Frage

  • Hallo zusammen,

    auf Windows 7 oder Windows Server 2008 R2 Computern hole ich von einer MS PKI (W 2008 R2) über die MMC (Zertifikate) neue Zertifikate. Dabei gebe ich Alternative Antragsteller-Namen an.

    Dazu wählt man unter "Antragsteller" "Alternative Namen" vom Typ DNS aus und träge dann beliebig viele Namen ein (inkl. des Namen des Servers selber). So weit so gut. Aber: Das Zertifikat wird immer ohne Fehler erstellt. AAN sind dann aber nie vorhanden!

    In der Vorlage kann man ja nichts einstellen, dass das beschränkt, oder?

    Hat jemand einen Tipp?


    Greetings/Grüße Gernot

    Donnerstag, 23. Mai 2013 14:17

Antworten

  • Überprüfe bitte auf der zugehörigen Issuing CA, ob folgende Option aktiviert ist:

    Certutil -getreg policy\EditFlags

    [..]
    EDITF_ATTRIBUTESUBJECTALTNAME2
    [..]

    Bzgl. dem Ändern der Policy s. weiter unten:

    Vorab jedoch ein Hinweis:

    Adding a SAN attribute to the RequestAttributes section of RequestPolicy.inf also requires that the CA is configured to accept SAN attributes by enabling EDITF_ATTRIBUTESUBJECTALTNAME2, which can put your PKI at risk for impersonation attacks.

    Whenever possible, specify SAN information by using certificate extensions instead of request attributes to avoid enabling EDITF_ATTRIBUTESUBJECTALTNAME2.

    Do not enable EDITF_ATTRIBUTESUBJECTALTNAME2 on an enterprise CA.

    For more information about risks and mitigations, see Security best practices for allowing SANs in certificates (http://technet.microsoft.com/fr-fr/library/ff625722(v=ws.10).aspx#BKMK_Security)

    Source: http://technet.microsoft.com/fr-fr/library/ff625722(v=ws.10).aspx#BKMK_Security

    [..]

    How to configure a CA to accept a SAN attribute from a certificate request

    By default, a CA that is configured on a Windows Server 2003-based computer does not issue certificates that contain the SAN extension. If SAN entries are included in the certificate request, these entries are omitted from the issued certificate. To change this behavior, run the following commands at a command prompt on the server that runs the Certification Authority service. Press ENTER after each command.

    certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
    net stop certsvc
    net start certsvc

    NoteThe EDITF_ATTRIBUTESUBJECTALNAME2 is only needed if the SAN is included as a request attribute.

    [..]

    Source: http://support.microsoft.com/kb/931351/en-us

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    Donnerstag, 23. Mai 2013 14:54

Alle Antworten