Ein Duplikat einer Zertifikatsvorlage erstellen und versionieren

Zertifikatvorlagen Versionen

Zertifikate

Ein Duplikat einer Vorlage erstellen und versionieren

Sobald wir ein Duplikat einer Vorlage erstellt haben, müssen wir bestimmen, wer die neue Vorlage verwenden kann.

Die Kompatibilitätseinstellungen verhindern nicht, das frühere Versionen von Betriebssystemen die Vorlage verwenden können.

Zertifikatvorlagen versionieren

  • Die Schemaversion 1 kam mit Windows 2000
  • Die Schemaversion 2 kam mit Windows Server 2003 Enterprise
    • Das Autoenrollment wurde hinzugefügt
  • Die Schemaversion 3 kam mit Windows Server 2008 Enterprise
    • Mit der Version 3 kamen auch neue kryptografische Algorithmen
    • Vorlagen der Version 3 können nicht mehr über den Webdienst bereitgestellt werden (CertSrv)
  • Die Schemaversion 4 kam ab Windows Server 2012
    • Unterstützt CSP (Crypto Service Provider) und KSP (Key Storage Provider)
    • Ein Zertifikat kann nun mit dem gleichen Schlüssel erneuert werden

Die Schemaversion einer Vorlage bestimmt also die verfügbaren Optionen.

Wenn man z.B. eine Vorlage der Schemaversion 2 (Kerberos) dupliziert und den KSP einsetzt, bildet sich daraus eine Vorlage der Schemaversion 3.

Wenn man z.B. eine Vorlage der Schemaversion 1 (Computer) dupliziert und die Kompatibilität auf der Zertifizierungsstelle auf Windows Server 2012 festlegt und den Zertifikatsempfänger auf Windows 10, bildet sich daraus die Schemaversion 4.

Eine Zertifikatvorlage hat mehrere Werte zur Versionierung. Die Schemaversion und die Versionsnummer. Die Versionsnummer besteht aus einer Hauptversion und einer Nebenversion. Die Nebenversion erhöht sich mit jeder Änderung an der Vorlage, die jedoch keine unmittelbare Auswirkung auf die Clients hat, die ihre Zertifikate mittels der automatischen Registrierung erhalten haben. Die Hauptversion erhöht sich, sobald man alle Zertifikatsinhaber zur erneuten Registrierung aufgefordert hat. So wird aus einer Hauptversion 100.6 die Hauptversion 101.0. Mit der Erhöhung der Hauptversion wird der Nebenversionszähler auf 0 zurückgesetzt.

Schemaversion und Versionsnummer

Wenn wir die Revisionsnummer manuell erhöhen würden, würde das automatisch eine erneute Registrierung auslösen.

Certificate Template Revision Attribute

Auf dem Client würden 2 Tasks (erneute Registrierung) ausgelöst werden. Der SystemTask und/oder der UserTask, je nachdem an welcher Vorlage man die Revisionsnummer erhöht hat.

CertificateServicesClient Task

Über die Kommandozeile bekommen wir weitere Informationen zu den Vorlagen inklusiv diverser Attribute.

CertUtil -dsTemplate

https://www.der-windows-papst.de/2019/07/06/eigenschaften-eines-x-509-v3-zertifikats/