Eine Zertifizierungsstelle verarbeitet die einzelnen Zertifikatanforderungen mithilfe eines Satzes definierter Regeln. Die Zertifizierungsstelle kann manche Zertifikate ohne Identitätsnachweis ausstellen und bei anderen Zertifikattypen vor der Ausstellung einen Identitätsnachweis verlangen. Dadurch ergeben sich verschiedene Stufen der Zusicherung für die verschiedenen Zertifikate. Diese Zusicherungsstufen werden in Zertifikaten durch Ausstellungsrichtlinien dargestellt.
Eine Ausstellungsrichtlinie (wird auch als Registrierungs- oder Zertifikatrichtlinie bezeichnet) ist eine Gruppe administrativer Regeln, die beim Ausstellen von Zertifikaten implementiert werden. Diese werden in einem Zertifikat durch eine Objektkennung (Object Identifier, OID) dargestellt, die in der Zertifizierungsstelle definiert ist. Diese Objektkennung ist in dem ausgestellten Zertifikat enthalten. Wenn ein Antragsteller sein Zertifikat präsentiert, kann dieses vom Ziel untersucht werden, um die Ausstellungsrichtlinie zu überprüfen und zu ermitteln, ob die Stufe der Ausstellungsrichtlinie zum Ausführen der angeforderten Aktion ausreicht.
Windows Server 2008 R2, Windows Server 2008 und Windows Server 2003 enthalten vier vordefinierte Ausstellungsrichtlinien:
-
Alle ausgegebenen Richtlinien (2.5.29.32.0). Die Richtlinie Alle ausgegebenen Richtlinien gibt an, dass in der Ausstellungsrichtlinie alle anderen Ausstellungsrichtlinien enthalten sind. Normalerweise wird diese Objektkennung nur Zertifizierungsstellenzertifikaten zugewiesen.
-
Niedrige Zusicherung (1.3.6.1.4.1.311.21.8.x.y.z.1.400). Die Objektkennung Niedrige Zusicherung wird für Zertifikate verwendet, die ohne zusätzliche Sicherheitsanforderungen ausgestellt werden.
Hinweis Der Teil x.y.z der Objektkennung ist eine nach dem Zufallsprinzip generierte Zahlenfolge, die für jede Active Directory-Gesamtstruktur eindeutig ist.
-
Mittlere Zusicherung (1.3.6.1.4.1.311.21.8.x.y.z.1.401). Die Objektkennung Mittlere Zusicherung wird für Zertifikate verwendet, für deren Ausstellung zusätzliche Sicherheitsanforderungen gelten. Beispielsweise kann ein Smartcardzertifikat, das in einem persönlichen Treffen mit dem Aussteller der Smartcard ausgestellt wird, als Zertifikat mit mittlerer Zusicherung betrachtet werden und die Objektkennung Mittlere Zusicherung enthalten.
-
Hohe Zusicherung (1.3.6.1.4.1.311.21.8.x.y.z.1.402). Die Objektkennung Hohe Zusicherung wird für Zertifikate verwendet, die mit der höchsten Sicherheit ausgestellt werden. Beispielsweise können für die Ausstellung eines Zertifikats für einen Key Recovery Agent zusätzliche Überprüfungen und eine digitale Signatur eines designierten Genehmigers erforderlich sein, da eine Person, die im Besitz dieses Zertifikats ist, privates Schlüsselmaterial einer Unternehmenszertifizierungsstelle wiederherstellen kann.
Außerdem können Sie eigene Objektkennungen erstellen, die benutzerdefinierte Ausstellungsrichtlinien darstellen.
Wenn Antragsteller Zertifikatanforderungen an eine Zertifizierungsstelle senden, kann die Anforderung automatisch genehmigt oder in einen Wartezustand versetzt werden. Der Wartezustand wird normalerweise für Zertifikate verwendet, die eine höhere Zusicherungsstufe und daher mehr Verwaltung und eine weitere Anforderungsüberprüfung erfordern. Es gibt eine Reihe von Einstellungen, mit denen die Authentifizierungs- und Signaturanforderungen für auf einer Vorlage basierende Ausstellungszertifikate konfiguriert werden können.
| Einstellung | Beschreibung |
|---|---|
|
Genehmigung von Zertifikatverwaltung der Zertifizierungsstelle |
Alle Zertifikate werden im Container für ausstehende Anforderungen platziert, um von der Zertifikatverwaltung ausgestellt oder verweigert zu werden. |
|
Diese Anzahl an autorisierten Signaturen |
Diese Einstellung schreibt vor, dass die Zertifikatanforderung von einem oder mehreren Antragstellern digital signiert sein muss, damit sie ausgestellt werden kann. Dadurch werden verschiedene weitere Konfigurationsparameter aktiviert. |
|
Erforderlicher Richtlinientyp für Signatur |
Die für die Ausstellung eines Zertifikats erforderlichen Signaturen müssen eine bestimmte Anwendungsrichtlinie und/oder Ausstellungsrichtlinie enthalten. Auf diese Weise bestimmt die Zertifizierungsstelle, ob die Signatur zum Autorisieren der Ausstellung des Zertifikats für den Antragsteller geeignet ist. Diese Option wird aktiviert, wenn Diese Anzahl an autorisierten Signaturen festgelegt wird. |
|
Anwendungsrichtlinie |
Gibt die Anwendungsrichtlinie an, die beim Signieren einer Zertifikatanforderung überprüft wird. Diese Option wird aktiviert, wenn Erforderlicher Richtlinientyp für Signatur auf Anwendungsrichtlinie oder auf Anwendungs- und Ausstellungsrichtlinie festgelegt ist. |
|
Ausstellungsrichtlinie |
Gibt die Ausstellungsrichtlinie an, die beim Signieren einer Zertifikatanforderung überprüft wird. Diese Option wird aktiviert, wenn Erforderlicher Richtlinientyp für Signatur auf Ausstellungsrichtlinie oder auf Anwendungs- und Ausstellungsrichtlinie festgelegt ist. |
Die Möglichkeit zum Ändern oder Erstellen neuer Anwendungsrichtlinien steht nur für Zertifikatvorlagen der Versionen 2 und 3 zur Verfügung. Weitere Informationen finden Sie unter Standardzertifikatvorlagen.
Clients, die bereits über ein auf der vorherigen Vorlage basierendes Zertifikat verfügen, müssen erneut registriert werden, um ein auf einer geänderten Vorlage basierendes Zertifikat zu erhalten. Weitere Informationen zum erneuten Registrieren von Clients finden Sie unter Erneutes Registrieren aller Zertifikatinhaber.
Sie müssen mindestens Mitglied der Gruppe Domänen-Admins, Organisations-Admins oder einer entsprechenden Gruppe sein, damit Sie dieses Verfahren ausführen können. Weitere Informationen finden Sie unter Implementieren der rollenbasierten Verwaltung.
 | So ändern Sie eine Ausstellungsrichtlinie |
Öffnen Sie das Zertifikatvorlagen-Snap-In.
Klicken Sie im Detailbereich mit der rechten Maustaste auf die zu ändernde Zertifikatvorlage, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf die Registerkarte Ausstellungsvoraussetzungen.
Geben Sie die angeforderten Informationen ein.