MBCDN

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: cmake opensearch json
adcs

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung 		Vorhergehende Überarbeitung
adcs [2025/04/10 08:25]
jango 		adcs [2025/04/12 11:59] (aktuell)
jango
Zeile 1: Zeile 1:
 [[Active Directory]] Certificate Services (ADCS) ist eine Serverrolle von Microsoft Windows Server, die es ermöglicht, eine [[pki|Public Key Infrastructure]] (PKI) innerhalb einer [[Active Directory|Windows-Domäne]] bereitzustellen. Sie wird verwendet, um digitale Zertifikate auszustellen, zu verwalten, zu erneuern und zu widerrufen. Diese Zertifikate können zur Authentifizierung, Verschlüsselung und Signierung in verschiedenen Szenarien verwendet werden (z. B. für HTTPS, [[Email]]-[[kryptographie|Verschlüsselung]], Smartcards oder [[VPN]]). [[Active Directory]] Certificate Services (ADCS) ist eine Serverrolle von Microsoft Windows Server, die es ermöglicht, eine [[pki|Public Key Infrastructure]] (PKI) innerhalb einer [[Active Directory|Windows-Domäne]] bereitzustellen. Sie wird verwendet, um digitale Zertifikate auszustellen, zu verwalten, zu erneuern und zu widerrufen. Diese Zertifikate können zur Authentifizierung, Verschlüsselung und Signierung in verschiedenen Szenarien verwendet werden (z. B. für HTTPS, [[Email]]-[[kryptographie|Verschlüsselung]], Smartcards oder [[VPN]]).
 +
 +Siehe auch [[x509]]
 +
 +ADCS Tools/SnapIns
 +|certsrv.msc|Verwaltung der Zertifizierungsstelle|
 +|certtmpl.msc|Verwaltung der Zertifikatvorlagen|
 +|certreq.exe|Zertifikatsanforderung per CLI|
 +|certutil.exe|Diagnose und Management per CLI|
 +|MMC → Zertifikate|Anzeige und Export von Zertifikaten|
 +
 +ADCS veröffentlicht Zertifikate und Sperrlisten (CRL: Certifficate revokation list) unter folgenden Pfaden:
 +
 +|CDP (CRL Distribution Point)|Speicherort der Sperrliste|http://pki.domain.local/CRL/ca.crl|
 +|AIA (Authority Information Access)|Speicherort des CA-Zertifikats|http://pki.domain.local/CA.crt|
  
 =====Komponenten===== =====Komponenten=====
Zeile 10: Zeile 24:
 |Zertifikatverteilungspunkte (CDP/AIA)|Speicherorte für Sperrlisten (CRL) und CA-Zertifikate.| |Zertifikatverteilungspunkte (CDP/AIA)|Speicherorte für Sperrlisten (CRL) und CA-Zertifikate.|
  
-=====Request=====+=====CSR (Certificate signing request)=====
  
-Erstelle eine Datei, z.B webserver.inf+Erstelle eine Datei, z.B webserver.inf (Mit certtmpl.msc kannst du alle Vorlagen anzeigen)
  
 <code> <code>
Zeile 60: Zeile 74:
 <code powershell> <code powershell>
 # Öffne PowerShell als Administrator # Öffne PowerShell als Administrator
-$cert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object { $_.Subject -like "*www.meinserver.de*" }+$cert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object { $_.Subject -like "*domain.com*" }
 $pwd = ConvertTo-SecureString -String "MeinSicheresPasswort123" -Force -AsPlainText $pwd = ConvertTo-SecureString -String "MeinSicheresPasswort123" -Force -AsPlainText
 Export-PfxCertificate -Cert $cert -FilePath "C:\webserver.pfx" -Password $pwd Export-PfxCertificate -Cert $cert -FilePath "C:\webserver.pfx" -Password $pwd
Zeile 68: Zeile 82:
 <code> <code>
 Import-PfxCertificate -FilePath "C:\webserver.pfx" -CertStoreLocation Cert:\LocalMachine\My Import-PfxCertificate -FilePath "C:\webserver.pfx" -CertStoreLocation Cert:\LocalMachine\My
 +</code>
 +
 +=====CRL (Certificate revokation list)=====
 +
 +<code powershell>
 +PS C:\> $cert = Get-ChildItem -Path Cert:\LocalMachine\My | Select-Object -First 1
 +PS C:\> $cert.Export([System.Security.Cryptography.X509Certificates.X509ContentType]::Cert) | Set-Content -Path "C:\Temp\ExportedCert.cer" -Encoding Byte
 +PS C:\> certutil -urlfetch -verify "C:\Temp\ExportedCert.cer"
 +
 +Aussteller:
 +    CN=EnterpriseIssuingCA
 +    DC=d2000
 +    DC=local
 +  Namenshash (sha1): 20177fd169ec3c09be924512e96b8109379fbaa0
 +  Namenshash (md5): 20eaa93acd9358a358a56ae652663417
 +Antragsteller:
 +    CN=audit.akm.at
 +  Namenshash (sha1): 49ea13ae2a8a41a8b96f9a42e2663f821e693a36
 +  Namenshash (md5): 2d67cd2da7891e75a22a19423e885094
 +Zertifikatseriennummer: 4b00004747b1656e05970d297b000100004747
 +
 +dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
 +dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
 +ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
 +HCCE_LOCAL_MACHINE
 +CERT_CHAIN_POLICY_BASE
 +-------- CERT_CHAIN_CONTEXT --------
 +ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
 +ChainContext.dwRevocationFreshnessTime: 206 Days, 7 Hours, 16 Minutes, 25 Seconds
 +
 +SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
 +SimpleChain.dwRevocationFreshnessTime: 206 Days, 7 Hours, 16 Minutes, 25 Seconds
 +
 +CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0
 +  Issuer: CN=EnterpriseIssuingCA, DC=d2000, DC=local
 +  NotBefore: 10.04.2025 07:56
 +  NotAfter: 10.04.2027 07:56
 +  Subject: CN=audit.akm.at
 +  Serial: 4b00004747b1656e05970d297b000100004747
 +  SubjectAltName: DNS-Name=audit.akm.at, DNS-Name=vie-t-srv-audit.d2000.local
 +  Template: WebServer
 +  Cert: e47af028e60d14590d95ad69ca8b76e8da17e408
 +  Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
 +  Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
 +  ----------------  Zertifikat abrufen  ----------------
 +  Überprüft "Zertifikat (0)" Zeit: 0 c11c4a123232d5756221fa5b6a7e81fbd7d0a03d
 +    [0.0] ldap:///CN=EnterpriseIssuingCA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=d2000,DC=local?cACertificate?base?objectClass=certificationAuthority
 +
 +  Überprüft "Zertifikat (1)" Zeit: 0 b61438f8d5b0ba453066f20db4a290d0032c2d3c
 +    [0.1] ldap:///CN=EnterpriseIssuingCA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=d2000,DC=local?cACertificate?base?objectClass=certificationAuthority
 +
 +  Überprüft "Zertifikat (1)" Zeit: 0 b61438f8d5b0ba453066f20db4a290d0032c2d3c
 +    [1.0] http://pki.akm.at/pki/vie-srv-ca01.d2000.local_EnterpriseIssuingCA(1).crt
 +
 +  ----------------  Zertifikat abrufen  ----------------
 +  Überprüft "Basissperrliste (0151)" Zeit: 0 7d8932bc1119d3f18f083cbef8c778d5e37e81a7
 +    [0.0] ldap:///CN=EnterpriseIssuingCA,CN=vie-srv-ca01,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=d2000,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoint
 +
 +  Überprüft "Deltasperrliste (0151)" Zeit: 0 87bb070928de8de2a98f70c9c0f61e35be189cd7
 +    [0.0.0] ldap:///CN=EnterpriseIssuingCA,CN=vie-srv-ca01,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=d2000,DC=local?deltaRevocationList?base?objectClass=cRLDistributionPoint
 +
 +  Überprüft "Deltasperrliste (0151)" Zeit: 0 87bb070928de8de2a98f70c9c0f61e35be189cd7
 +    [0.0.1] http://pki.akm.at/pki/EnterpriseIssuingCA+.crl
 +
 +  Überprüft "Basissperrliste (0151)" Zeit: 0 7d8932bc1119d3f18f083cbef8c778d5e37e81a7
 +    [1.0] http://pki.akm.at/pki/EnterpriseIssuingCA.crl
 +
 +  Überprüft "Deltasperrliste (0151)" Zeit: 0 87bb070928de8de2a98f70c9c0f61e35be189cd7
 +    [1.0.0] ldap:///CN=EnterpriseIssuingCA,CN=vie-srv-ca01,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=d2000,DC=local?deltaRevocationList?base?objectClass=cRLDistributionPoint
 +
 +  Überprüft "Deltasperrliste (0151)" Zeit: 0 87bb070928de8de2a98f70c9c0f61e35be189cd7
 +    [1.0.1] http://pki.akm.at/pki/EnterpriseIssuingCA+.crl
 +
 +  ----------------  Basissperrliste veraltet  ----------------
 +  Keine URLs "Keine" Zeit: 0 (null)
 +  ----------------  Zertifikat-OCSP  ----------------
 +  Keine URLs "Keine" Zeit: 0 (null)
 +  --------------------------------
 +    CRL 0150:
 +    Issuer: CN=EnterpriseIssuingCA, DC=d2000, DC=local
 +    ThisUpdate: 09.04.2025 12:10
 +    NextUpdate: 24.04.2025 00:30
 +    CRL: 11e66ec51ef72d189c669893c0b4aa0635f1f5f9
 +  Application[0] = 1.3.6.1.5.5.7.3.1 Serverauthentifizierung
 +
 +CertContext[0][1]: dwInfoStatus=102 dwErrorStatus=0
 +  Issuer: CN=ROOTCA
 +  NotBefore: 06.04.2020 14:25
 +  NotAfter: 06.04.2034 14:35
 +  Subject: CN=EnterpriseIssuingCA, DC=d2000, DC=local
 +  Serial: 730000000402f3944965a14fd6000100000004
 +  Template: SubCA
 +  Cert: b61438f8d5b0ba453066f20db4a290d0032c2d3c
 +  Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
 +  Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
 +  ----------------  Zertifikat abrufen  ----------------
 +  Überprüft "Zertifikat (0)" Zeit: 0 003a30d9ef730a81e36684c1cfc3aa0fb3b1f979
 +    [0.0] http://pki.akm.at/pki/RootCA_ROOTCA(1).crt
 +
 +  Überprüft "Zertifikat (1)" Zeit: 0 81b85e9c5ca43c4be4fb8f343edbfb5a3d8df18f
 +    [1.0] ldap:///CN=ROOTCA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=d2000,DC=local?cACertificate?base?objectClass=certificationAuthority
 +
 +  Überprüft "Zertifikat (0)" Zeit: 0 003a30d9ef730a81e36684c1cfc3aa0fb3b1f979
 +    [1.1] ldap:///CN=ROOTCA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=d2000,DC=local?cACertificate?base?objectClass=certificationAuthority
 +
 +  ----------------  Zertifikat abrufen  ----------------
 +  Abgelaufen "Basissperrliste (12)" Zeit: 0 4c44fba92c822a6bf632b2c531ad75443eab2711
 +    [0.0] http://pki.akm.at/pki/ROOTCA.crl
 +
 +  Überprüft "Basissperrliste (14)" Zeit: 0 de9f7a941d1db2df69780bb385901f3047b00ffc
 +    [1.0] ldap:///CN=ROOTCA,CN=RootCA,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=d2000,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoint
 +
 +  ----------------  Basissperrliste veraltet  ----------------
 +  Keine URLs "Keine" Zeit: 0 (null)
 +  ----------------  Zertifikat-OCSP  ----------------
 +  Keine URLs "Keine" Zeit: 0 (null)
 +  --------------------------------
 +    CRL 14:
 +    Issuer: CN=ROOTCA
 +    ThisUpdate: 16.09.2024 08:47
 +    NextUpdate: 16.09.2025 21:07
 +    CRL: de9f7a941d1db2df69780bb385901f3047b00ffc
 +
 +CertContext[0][2]: dwInfoStatus=10c dwErrorStatus=0
 +  Issuer: CN=ROOTCA
 +  NotBefore: 27.09.2012 08:24
 +  NotAfter: 06.04.2048 13:12
 +  Subject: CN=ROOTCA
 +  Serial: 323eab5b4a53dda34ebcdde98394ea6a
 +  Cert: 003a30d9ef730a81e36684c1cfc3aa0fb3b1f979
 +  Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
 +  Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
 +  Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
 +  ----------------  Zertifikat abrufen  ----------------
 +  Keine URLs "Keine" Zeit: 0 (null)
 +  ----------------  Zertifikat abrufen  ----------------
 +  Keine URLs "Keine" Zeit: 0 (null)
 +  ----------------  Zertifikat-OCSP  ----------------
 +  Keine URLs "Keine" Zeit: 0 (null)
 +  --------------------------------
 +
 +Exclude leaf cert:
 +  Chain: fd786397872f5f43ee14c7592bf62f0f0d950d70
 +Full chain:
 +  Chain: 12cc956f02358ef15baa12297568acc4259d370e
 +------------------------------------
 +Verfizierte Ausstellungsrichtlinien: Kein
 +Verfizierte Anwendungsrichtlinien:
 +    1.3.6.1.5.5.7.3.1 Serverauthentifizierung
 +Sperrstatussüberprüfung des untergeordneten Zertifikats erfolgreich abgeschlossen.
 +CertUtil: -verify-Befehl wurde erfolgreich ausgeführt.
 +</code>
 +
 +=====CLI=====
 +
 +<code>
 +# Zeige alle Templates
 +certtmpl.msc
 </code> </code>
adcs.1744266342.txt.gz · Zuletzt geändert: 2025/04/10 08:25 von jango

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-NoDerivatives 4.0 International
CC Attribution-NoDerivatives 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki