Ich verwende einen Windows Server 2008 R2-Domänencontroller mit installierten Active Directory-Zertifikatdiensten. Er ist als Enterprise Root CA konfiguriert.
Ich habe eine benutzerdefinierte Zertifikatsvorlage konfiguriert, sodass ich SSL-Zertifikate mit erweiterter Validierung von der Zertifizierungsstelle generieren kann.
In vielen EV-SSL-Zertifikaten sind im Feld „Betreff“ der ausgestellten Zertifikate die folgenden OIDs angegeben:
2.5.4.15 = ORGANISATIONSTYP
1.3.6.1.4.1.311.60.2.1.2 = STAAT
1.3.6.1.4.1.311.60.2.1.3 = LAND
Beispiel:
2.5.4.15 = Private Organisation
1.3.6.1.4.1.311.60.2.1.2 = Arizona
1.3.6.1.4.1.311.60.2.1.3 = USA
Ich versuche herauszufinden, ob es bereits eine Stelle gibt, an der ich diese benutzerdefinierten OIDs und ihre Werte angeben kann, die beim Anfordern des Zertifikats über Active Directory von meiner Zertifizierungsstelle verwendet werden sollen.
Ich habe mir ein EV SSL Hotmail-Zertifikat angesehen und das Zertifikat weist im Betrefffeld die oben aufgeführten OIDs auf:
(Quelle:www.yffaz.org)
Wenn ich das MMC-Zertifikat-Snap-In verwende, „Lokaler Computer“ auswähle und versuche, mithilfe meiner benutzerdefinierten Zertifikatvorlage und den angegebenen Werten ein Zertifikat anzufordern, werden mir nur die folgenden Elemente angezeigt und keines, bei dem ich eine OID angeben kann:
(Quelle:www.yffaz.org)
Hat jemand eine Idee, wie ich das erreichen könnte?
Antwort1
Die KommandozeilecertreqWerkzeugermöglicht Ihnen, beliebige Erweiterungen (per OID) in Ihre Anfrage einzuschließen, die Verwendung des Tools ist allerdings nicht ganz intuitiv.