Als bewährte Praxis für eine Public Key Infrastructure (PKI) werden Zertifikatsrichtlinien mit einer PKI verknüpft, indem eindeutige Objektbezeichner (OID) für die gesamte PKI oder Teile davon reserviert und integriert werden. OIDs werden verwendet, um einer bestimmten Zertifizierungsstelle eine oder mehrere Zertifikatsrichtlinien zuzuweisen.
Es gibt drei grundlegende Methoden, die zur Erstellung von Richtlinien-OIDs verwendet werden können:
- Verwenden Sie die vorab zugewiesenen OIDs, die in Active Directory Certificate Services (AD CS) integriert sind, für niedrige, mittlere und hohe Sicherheit.
- Verwenden Sie die Funktion "zufällig zugewiesen" der Windows 2008/2012 CA.
- Registrieren Sie einen öffentlichen OID-Bogen und definieren Sie die Richtlinien unter diesem Bogen, anstatt eine private OID zu verwenden (bevorzugte Methode).
Die ersten beiden Optionen sind für die Verwendung durch private Organisationen verfügbar. Die Implementierung einer privaten OID bedeutet, dass Sie eine organisatorische Abgrenzung für Ihre PKI festlegen. Die dritte Option ist die Verwendung einer öffentlichen OID, damit Ihre PKI mit anderen Organisationen zusammenarbeiten kann.
In diesem Beitrag wird die zweite Option näher beleuchtet: die Verwendung der "zufällig zugewiesenen" Funktion der Windows 2008/2012 CA.
Bei der Installation der ersten domänenverbundenen CA-Rolle wird von AD CS automatisch eine eindeutige, private OID für den Wald erzeugt. In einigen Fällen kann die Kenntnis dieser OID vor der Installation der CA nützlich sein, wenn Sie Ihre Zertifikatsrichtlinie und Ihr Certificate Practice Statement (CP/CPS) Dokumentensatz oder CA-Richtlinienkonfigurationsdateien (CAPolicy.inf, Policy.inf) erstellen.
Um eine private OID für die Datei CAPolicy.inf zu verwenden, müssen Sie den Wert nach dem ersten Teil der Installation der AD CS-Rolle erfassen, bevor Sie mit dem zweiten Teil der Konfiguration der CA beginnen.
Die Schritte, um die eindeutige private OID des Waldes zu erhalten, sind wie folgt:
- Fügen Sie die AD CS-Rolle hinzu, aber fahren Sie mit der Konfiguration der Zertifizierungsstelle erst fort, wenn Sie Ihre OID haben. Das heißt, bevor Sie im Ergebnisfenster auf den Link "Active Directory-Zertifikatsdienste auf dem Zielserver konfigurieren" oder im Server-Manager auf die Benachrichtigung "Post-Deployment-Konfiguration" klicken.
- Führen Sie certtmpl.msc aus, um die Konsole für Zertifikatsvorlagen hinzuzufügen.
- Verwenden Sie die Konsole für Zertifikatsvorlagen, um eine neue Ausgaberichtlinie zu erstellen. Sie können entweder die gesamte von der Konsole bereitgestellte OID verwenden oder die letzten beiden Felder nach Ihren Bedürfnissen ändern.
- Speichern Sie die OID in Ihrer Datei %windir%\CAPolicy.inf.
- Setzen Sie die CA-Installation fort. Klicken Sie im Fenster "AD CS-Installationsergebnisse" auf den Link "Active Directory-Zertifikatsdienste auf dem Zielserver konfigurieren", oder verwenden Sie im Server Manager das Kennzeichen "Post-Deployment-Konfiguration", um die CA-Konfiguration zu starten und die CA-Installation wie geplant abzuschließen.