-alfred-

Hallo, ich habe eine Frage an die Admins in größeren Unternehmen bezüglich der Administration von Zertifizierungsstellen: Gibt es eine Möglichkeit die Berechtigungen zum Erstellen/Verwalten von Zertifikatsvorlagen (die ja im Forest zentral gespeichert werden) an einen User zu vergeben ohne ihn zum Organisationsadministrator zu machen? Kann man hier irgendwie Rechte auf spezielle Container vergeben? Falls nicht, wie wird das denn in großen Firmen gehandhabt? Angenommen man hat hunderte Außenstellen auf der ganzen Welt, viele Subdomains für diese aber insgesamt nur einen großen AD-Forest. Da kann es doch nicht sein das jede Außenstelle, die für irgendeine Anwendung eine Zertifizierungsstelle aufbauen will, Organisationsadmin-Rechte für die ganze Welt bekommt, oder? Ich kann mir auch nicht vorstellen das in so einem großen Laden alle Zertifikats-Anfragen zentral gehandhabt werden. Wäre interessant hier ein paar Erfahrungsberichte/Tips zu hören. Gruß, Alfred

Du kannst keine Templates ändern wenn Du keine 2003er CA hast. Das unveränderte Original-Template geht unter 2000, entweder Du kommst mit diesem zurecht oder Du brauchst ne andere CA.

Hallo, hat jemand Erfahrung mit Frontends für eine Microsoft-Zertifizierungsstelle, bzw kompletten Zertifizierungsstellen, die man in eine Microsoft-CA-Umgebung einbauen kann? Der Grund für meine Frage ist, das man ab einer gewissen Anzahl von Zertifikaten nicht mehr wirklich schön mit der MMC arbeiten kann. Am liebsten wäre mir ein grafisches Frontend, das man einfach drauf setzen kann, eine andere Möglichkeit wäre eine kommerzielle CA-Lösung, die man als neue SubCA in die Struktur einbindet. Ich habe schon im Netz gesucht aber nicht wirklich etwas passendes gefunden. Gruß und danke im Vorraus, alfred

Hallo miteinander, ich habe eine Frage zur Verwendung der Microsoft CAs. Wenn ich eine Offline RootCA installiere muss ich ja die CDP/AIA-Extensions für die SubCAs angeben. Wenn nun zwei SubCAs entstehen sollen von denen jede eine Enterprise-Online-CA in einem anderen AD werden soll, kann ich dann einfach jeweils 2 LDAP-Punkte für AIA und CDP angeben? Bei der Abfrage nach den Zertifikaten/CRLs wird in einem Fall dann zuerst der nicht funktionierende (weil im anderen AD) abgefragt (Fehler beim Abrufen des URL: Die Umgebung stimmt nicht. 0x8007000a), danach scheint aber die Abfrage weiterzugehen und den funktionierenden zu finden. Kann das zu irgendwelchen Problemen führen oder ist das normale Vorgehensweise? Ich bekomme in der Konstellation bei der Prüfung eines Userzertifikats mit "certutil -verify -urlfetch <zertifikat.cer>" folgende Fehlermeldung: ------------------------------------------------------------------------ Eine Zertifikatskette wurde zwar ordnungsgemäß verarbeitet, endete jedoch mit einem Stammzertifikat, das beim Vertrauensanbieter nicht als vertrauenswürdig gilt. 0x800b0109 (-2146762487) Die Verifizierung wird mit einem nicht vertrauenswürdigen Stamm durchgeführt. Sperrstatussüberprüfung des untergeordneten Zertifikats erfolgreich abgeschlossen. ------------------------------------------------------------------------ Hat jemand Erfahrung in dem Gebiet? :) Danke im Vorraus, alfred