Ändern einer Zertifikats-Vorlage einer Windows Server 2008 R2 PKI
Manchmal kommt es vor, das sich bei einer Zertifikatsvorlage ein Fehler eingeschlichen hat, oder das sich Anforderungen an eine Vorlage ändern, und deswegen das Zertifikat angepasst werden muss. Da eine Anpassung bzw. Änderung sich nicht auf bereits ausgestellt Zertifikate auswirkt und ein manuelles Entfernen der bereits ausgestellten Zertifikate keine vernünftige Lösung ist, beschreiben wir in diesem Artikel, wie man eine Zertifikats-Vorlage ändert.
Unser Grund für die Änderung der Vorlage war, das der Haken bei “Nicht automatisch neu registrieren, wenn ein identisches Zertifikat bereits in der Active Directory vorhanden ist” nicht gesetzt war, und so für jeden Benutzer an jedem PC ein neues Zertifikat ausgestellt wurde.
Der erste Schritt ist der, das man eine vorhandene Zertifikatsvorlage zurückzieht. Dies passiert, indem man unter “Zertifikatsvorlagen” in der Zertifizierungsstelle die abzulösende Vorlage löscht, in unserem Fall “Benutzer-Rachfahl”.
Als nächsten Schritt gehen wir unter “Active-Directory-Zertifikatsdienste” in die Zertifikatsvorlagen. Dort klicken wir auf die Vorlage “Benutzer-Rachfahl” und wählen “Doppelte Vorlage”.
Wir haben die Vorlage in unserem Fall “Benutzer-Rachfahl 2” genannt. In dieser Vorlage stellen wir alles so ein wie wir es brauchen, inkl. aller Einstellungen aus “Benutzer-Rachfahl” (d.h. nicht nur die Änderungen / Abweichungen gegenüber der zu ersetzenden Vorlage). Wenn alle Einstellungen gesetzt sind (Diese werden erklärt in dem Artikel Einrichten einer Microsoft PKI mit Windows Server 2008 (R2) ), muss die alte Vorlage als abgelöst gekennzeichnet werden. Dies passiert, indem man im Reiter “Abgelöste Vorlagen” die alte Vorlage hinzufügt.
Als letzten Schritt muss man nun noch in der Zertifizierungsstelle die neu erstellte Vorlage ausrollen, dies passiert unter “Zertifikatsvorlagen”
Nachdem dies passiert ist, dauert es einige Zeit, bis alle Benutzer die neuen Einstellungen erhalten. Wir haben zwei Tage nach der Implementierung nachgeschaut, und alle Zertifikate, die auf der alten Vorlage beruhten, wurden aus den Zertifikaten des Benutzers gelöscht, und es tauchte nur noch ein Zertifikat auf, welches auf der neuen Vorlage beruht.
Sie haben Fragen zu Microsoft PKI oder Sie stoßen auf Probleme? Dann rufen Sie uns an – gerne sind wir ihnen im Support behilflich.
Über den Author: Die "IT-Her0es" sind ein gemeinsames Projekt von Carsten Rachfahl und Jan Kappen. Einige der hier beschriebenen Lösungen, HowTos und Erklärungen wurden von beiden zusammen erarbeitet oder recherchiert. Um dieser Arbeit ein klein wenig Respekt zu zollen, wurde das Projekt "IT-Her0es" geschaffen.
