Hallo,
nachdem ich meine Testumgebung wiederbelebt und das Thema einmal durchgespielt habe, konnte ich den Fehler nicht reproduzieren oder weitere Hinweise finden.
Ich habe ein LDAPS Zertifikat und die dazugehörige Vorlage als Dump beigefügt. Vielleicht helfen dir die Muster weiter.
---
Die ausgestellten Zertifikate für LDAPS weisen folgende Merkmale auf:
X.509-Zertifikat:
Version: 3
Seriennummer: 612b353700000000000a
Signaturalgorithmus:
Algorithmus Objekt-ID: 1.2.840.113549.1.1.5 sha1RSA
Algorithmusparameter:
05 00
Aussteller:
CN=corp-DC1-CA
DC=corp
DC=contoso
DC=com
Nicht vor: 12.03.2013 19:34
Nicht nach: 12.03.2015 19:34
Antragsteller:
CN=DC2.corp.contoso.com
Íffentlicher Schl³ssel-Algorithmus:
Algorithmus Objekt-ID: 1.2.840.113549.1.1.1 RSA (RSA_SIGN)
Algorithmusparameter:
05 00
Lõnge des ÷ffentlichen Schl³ssels: 2048 Bits
Íffentlicher Schl³ssel: Nicht verwendete Bits = 0
0000 30 82 01 0a 02 82 01 01 00 b9 46 18 6b 8f 28 19
0010 7a 0b ed be 8d 60 80 01 5b 32 31 97 e1 44 91 29
0020 5a 01 93 d9 d3 01 a4 bd a9 de da a5 e7 99 23 a2
0030 ed 92 f3 12 74 06 40 3b 78 ce b1 e6 72 96 20 f3
0040 34 0b d4 ee 87 c1 e0 40 45 55 c0 04 43 cf 0c 9c
0050 39 1b af 65 4a 11 bb 9c 16 a6 f2 5d 41 7a ee 35
0060 9d 51 e2 65 3c 8c 51 69 76 38 6a 0a 6d 4c 18 09
0070 8a 25 55 9d b6 83 4e 92 1c d6 1e b6 ae 6b 2f 69
0080 31 33 75 3d 8e 81 a5 3c de 17 5c 65 f0 94 6a 39
0090 02 e4 00 12 fe 1c 9a 73 64 5f ea cf 9a 6c 8f 3d
00a0 56 fe 4c af 05 d6 2c d7 ff 51 29 de f2 33 c4 ec
00b0 28 e1 77 20 1c 95 ab fb c0 4f 32 a2 c0 5a bd 2e
00c0 21 4d 22 29 aa cc 4a ef 98 34 77 ea 18 e6 ca 2d
00d0 09 a9 50 2f cc ce a0 17 ae 2c 68 16 ee c5 ca dc
00e0 9a 34 10 04 23 06 3f 8d 3e de f2 bb 7f d2 6d 3d
00f0 79 11 30 f7 c3 78 91 ef 54 83 29 97 68 e5 67 79
0100 5e b4 4d df 28 24 f5 9c b5 02 03 01 00 01
Zertifikaterweiterungen: 9
1.3.6.1.4.1.311.21.7: Kennzeichen = 0, Lõnge = 31
Zertifikatvorlageninformationen
Vorlage=LDAPS(1.3.6.1.4.1.311.21.8.4860783.3943589.12470706.3109382.9229270.224.14173502.3075546)
H÷here Versionsnummer=100
Niedrigere Versionsnummer=1
2.5.29.37: Kennzeichen = 0, Lõnge = 2b
Erweiterte Schl³sselverwendung
KDC-Authentifizierung (1.3.6.1.5.2.3.5)
Smartcard-Anmeldung (1.3.6.1.4.1.311.20.2.2)
Serverauthentifizierung (1.3.6.1.5.5.7.3.1)
Clientauthentifizierung (1.3.6.1.5.5.7.3.2)
2.5.29.15: Kennzeichen = 1(Kritisch), Lõnge = 4
Schl³sselverwendung
Digitale Signatur, Schl³sselverschl³sselung (a0)
1.3.6.1.4.1.311.21.10: Kennzeichen = 0, Lõnge = 33
Anwendungsrichtlinien
[1]Anwendungszertifikatrichtlinie:
Richtlinienkennung=KDC-Authentifizierung
[2]Anwendungszertifikatrichtlinie:
Richtlinienkennung=Smartcard-Anmeldung
[3]Anwendungszertifikatrichtlinie:
Richtlinienkennung=Serverauthentifizierung
[4]Anwendungszertifikatrichtlinie:
Richtlinienkennung=Clientauthentifizierung
2.5.29.14: Kennzeichen = 0, Lõnge = 16
Schl³sselkennung des Antragstellers
60 52 27 65 f2 3d 95 c2 a8 83 8b c3 a8 1e 75 1a 18 eb bd 66
2.5.29.35: Kennzeichen = 0, Lõnge = 18
Stellenschl³sselkennung
Schl³ssel-ID=bd bd 78 6f 9d 6a cb fc 5d d7 98 5a f2 7c 4a 94 0c 83 d3 4e
2.5.29.31: Kennzeichen = 0, Lõnge = f7
Sperrlisten-Verteilungspunkte
[1]Sperrlisten-Verteilungspunkt
Name des Verteilungspunktes:
Vollst. Name:
URL=ldap:///CN=corp-DC1-CA,CN=DC1,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint
URL=http://crl.corp.contoso.com/crld/corp-DC1-CA.crl
1.3.6.1.5.5.7.1.1: Kennzeichen = 0, Lõnge = b8
Zugriff auf Stelleninformationen
[1]Stelleninformationszugriff
Zugriffsmethode=Zertifizierungsstellenaussteller (1.3.6.1.5.5.7.48.2)
Alternativer Name:
URL=ldap:///CN=corp-DC1-CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com?cACertificate?base?objectClass=certificationAuthority
2.5.29.17: Kennzeichen = 0, Lõnge = 57
Alternativer Antragstellername
Anderer Name:
Prinzipalname=DC2$@corp.contoso.com
DNS-Name=DC2.corp.contoso.com
DNS-Name=corp.contoso.com
DNS-Name=CORP
Signaturalgorithmus:
Algorithmus Objekt-ID: 1.2.840.113549.1.1.5 sha1RSA
Algorithmusparameter:
05 00
Signatur: Nicht verwendete Bits=0
0000 ae 48 c3 43 97 30 3c e3 3f 82 00 e6 b4 7a 38 ec
0010 ec 2d fe ce 1b 62 55 48 90 2a 4d 8f 83 2d 6d 59
0020 a7 bc 8e c8 b1 8e d2 52 46 40 29 64 96 18 5c 81
0030 3b f4 41 28 b0 b1 76 f3 94 7c 21 0d f4 c7 9f 30
0040 eb 9f bf 7d b7 68 8e af 36 59 da cd a5 4d 5c 8d
0050 98 c0 94 65 b2 86 8f ab 99 5f b0 08 b4 c5 6c 3b
0060 ae 5f 68 1b 6a 8c 82 5d 66 95 a9 af f9 05 16 f2
0070 e0 d5 5e c4 f6 d8 35 a3 ea bf 11 5b d0 c7 86 91
0080 69 de 7e e1 4e e5 48 2e 68 ba 4f d5 0c 2e 99 94
0090 ab 66 df c1 15 6d af 9c 69 94 3d 4e 11 8c 5a a6
00a0 d0 73 72 4d 14 28 65 36 0f c8 b2 ea a7 b1 70 4b
00b0 db ce ba 97 39 53 b6 8b 98 2c 16 72 13 81 e9 53
00c0 ad 55 5e b6 4a f2 c2 3a b3 fa 53 db 1a de de 8c
00d0 a6 9c 27 b0 87 6c 4f 57 25 ae d6 fd 8a ce 0b 42
00e0 12 9e f6 51 8b a0 81 0d 7c 35 39 3f cd 0c bb b1
00f0 da f1 1c 4f 9c 4f 15 a8 d0 6b 15 62 23 b1 09 84
Kein Stammzertifikat
Schl³ssel-ID-Hash(rfc-sha1): 60 52 27 65 f2 3d 95 c2 a8 83 8b c3 a8 1e 75 1a 18 eb bd 66
Schl³ssel-ID-Hash(sha1): b5 f6 9d e1 82 4a 34 89 a1 bc c3 9a c8 3f 6c f7 98 e0 aa c7
Zertifikathash(md5): 1f 1c dc 0f d1 03 7a 52 c4 fa aa 13 9f 81 bf d5
Zertifikathash(sha1): 8a ac 91 2e 2f a8 3d 23 28 d1 66 98 8f cf d3 9e 40 96 28 0c
CertUtil: -dump-Befehl wurde erfolgreich ausgef³hrt.
---
Die Vorlage dazu sieht so aus:
Name: Active Directory-Registrierungsrichtlinie
ID: {06667064-9A3C-4FA7-B79F-4BE08C71955E}
URL: ldap:
34 Vorlagen:
Vorlage[17]:
TemplatePropCommonName = LDAPS
TemplatePropFriendlyName = LDAPS
TemplatePropEKUs =
4 Objekt-IDs:
1.3.6.1.5.2.3.5 KDC-Authentifizierung
1.3.6.1.4.1.311.20.2.2 Smartcard-Anmeldung
1.3.6.1.5.5.7.3.1 Serverauthentifizierung
1.3.6.1.5.5.7.3.2 Clientauthentifizierung
TemplatePropCryptoProviders =
0: Microsoft RSA SChannel Cryptographic Provider
TemplatePropMajorRevision = 64 (100)
TemplatePropDescription = Computer
TemplatePropSchemaVersion = 2
TemplatePropMinorRevision = 1
TemplatePropRASignatureCount = 0
TemplatePropMinimumKeySize = 800 (2048)
TemplatePropOID =
1.3.6.1.4.1.311.21.8.4860783.3943589.12470706.3109382.9229270.224.14173502.3075546 LDAPS
TemplatePropV1ApplicationPolicy =
4 Objekt-IDs:
1.3.6.1.5.2.3.5 KDC-Authentifizierung
1.3.6.1.4.1.311.20.2.2 Smartcard-Anmeldung
1.3.6.1.5.5.7.3.1 Serverauthentifizierung
1.3.6.1.5.5.7.3.2 Clientauthentifizierung
TemplatePropEnrollmentFlags = 38 (56)
CT_FLAG_PUBLISH_TO_DS -- 8
CT_FLAG_AUTO_ENROLLMENT_CHECK_USER_DS_CERTIFICATE -- 10 (16)
CT_FLAG_AUTO_ENROLLMENT -- 20 (32)
TemplatePropSubjectNameFlags = 18c00000 (415236096)
CT_FLAG_SUBJECT_ALT_REQUIRE_DOMAIN_DNS -- 400000 (4194304)
CT_FLAG_SUBJECT_ALT_REQUIRE_SPN -- 800000 (8388608)
CT_FLAG_SUBJECT_ALT_REQUIRE_DNS -- 8000000 (134217728)
CT_FLAG_SUBJECT_REQUIRE_DNS_AS_CN -- 10000000 (268435456)
TemplatePropPrivateKeyFlags = 10 (16)
CT_FLAG_EXPORTABLE_KEY -- 10 (16)
TemplatePropGeneralFlags = 20060 (131168)
CT_FLAG_AUTO_ENROLLMENT -- 20 (32)
CT_FLAG_MACHINE_TYPE -- 40 (64)
CT_FLAG_IS_MODIFIED -- 20000 (131072)
TemplatePropSecurityDescriptor = O:S-1-5-21-1349855088-662425208-3358439952-1109G:EAD:PAI(OA;;RPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;RO)(OA;;RPCR;a05b8cc2-17bc-4802-a710-e7c15ab866a2;;RO)(OA;;RPWPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;DA)(OA;;RPWPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;DD)(OA;;RPWPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;EA)(OA;;RPWPCR;a05b8cc2-17bc-4802-a710-e7c15ab866a2;;DD)(OA;;RPWPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;ED)(OA;;RPWPCR;a05b8cc2-17bc-4802-a710-e7c15ab866a2;;ED)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;DA)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;EA)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;S-1-5-21-1349855088-662425208-3358439952-1109)(A;;LCRPLORC;;;AU)
Zulassen Registrieren CORP\Schreibgesch³tzte Domõnencontroller der Organisation
Zulassen Automatische Registrierung CORP\Schreibgesch³tzte Domõnencontroller der Organisation
Zulassen Registrieren CORP\Domõnen-Admins
Zulassen Registrieren CORP\Domõnencontroller
Zulassen Registrieren CORP\Organisations-Admins
Zulassen Automatische Registrierung CORP\Domõnencontroller
Zulassen Registrieren NT-AUTORIT─T\DOM─NENCONTROLLER DER ORGANISATION
Zulassen Automatische Registrierung NT-AUTORIT─T\DOM─NENCONTROLLER DER ORGANISATION
Zulassen Vollzugriff CORP\Domõnen-Admins
Zulassen Vollzugriff CORP\Organisations-Admins
Zulassen Vollzugriff CORP\User1
Zulassen Lesen NT-AUTORIT─T\Authentifizierte Benutzer
TemplatePropExtensions =
4 Erweiterungen:
Erweiterung[0]:
1.3.6.1.4.1.311.21.7: Kennzeichen = 0, Lõnge = 31
Zertifikatvorlageninformationen
Vorlage=LDAPS(1.3.6.1.4.1.311.21.8.4860783.3943589.12470706.3109382.9229270.224.14173502.3075546)
H÷here Versionsnummer=100
Niedrigere Versionsnummer=1
Erweiterung[1]:
2.5.29.37: Kennzeichen = 0, Lõnge = 2b
Erweiterte Schl³sselverwendung
KDC-Authentifizierung (1.3.6.1.5.2.3.5)
Smartcard-Anmeldung (1.3.6.1.4.1.311.20.2.2)
Serverauthentifizierung (1.3.6.1.5.5.7.3.1)
Clientauthentifizierung (1.3.6.1.5.5.7.3.2)
Erweiterung[2]:
2.5.29.15: Kennzeichen = 1(Kritisch), Lõnge = 4
Schl³sselverwendung
Digitale Signatur, Schl³sselverschl³sselung (a0)
Erweiterung[3]:
1.3.6.1.4.1.311.21.10: Kennzeichen = 0, Lõnge = 33
Anwendungsrichtlinien
[1]Anwendungszertifikatrichtlinie:
Richtlinienkennung=KDC-Authentifizierung
[2]Anwendungszertifikatrichtlinie:
Richtlinienkennung=Smartcard-Anmeldung
[3]Anwendungszertifikatrichtlinie:
Richtlinienkennung=Serverauthentifizierung
[4]Anwendungszertifikatrichtlinie:
Richtlinienkennung=Clientauthentifizierung
TemplatePropValidityPeriod = 2 Years
TemplatePropRenewalPeriod = 6 Weeks
CertUtil: -Template-Befehl wurde erfolgreich ausgef³hrt.
This posting is provided "AS IS" with no warranties.
Zertifikat für LDAPS ausstellen (Dienstkonto) Server 2008
