[SBS 2003]Vervaldatum versie 1 certificaten van CA wijzigen*

Pagina: 1
Acties:

  • Dennis
  • Registratie: Februari 2001
  • Laatst online: 09:53
Ik ben hier bezig met het maken van certificaten voor een beveiligde verbinding. Nou heb ik op een Windows 2003 Small Business Server een enterprise CA geïnstalleerd om certificaten uit te geven. De standaard user template die geactiveerd is geeft een levensduur van 1 jaar mee aan de certificaten die je maakt. Dit is wel wat kort en daarom had ik gehoopt om een custom template te maken en dan de standaard template door die custom te laten overschrijven.

Nou zie ik echter dit staan in een hoop bronnen:
Version 2 certificate templates are only available if the enterprise CA
is running Windows Server 2003, Enterprise Edition, or Windows Server
2003, Data Center Edition. If the enterprise CA is running Windows Server
2003, Standard Edition, the Enable Certificate Templates dialog box only
displays the available version 1 certificate templates.
Betekent dit dat ik met de small business versie helemaal geen custom templates kan maken en dus verplicht ben om die standaard geldigheidsduur van één jaar te accepteren?

  • bolke
  • Registratie: Oktober 2000
  • Laatst online: 06-10-2024

bolke

Klikt nu met een 50D.

Je kan met ADSI editor de tijdsduur aanpassen van de standaard versie 1 templates. Je kan dus de template versie 1 aanpassen zodat deze ook 2 of 5 jaar geldig is. Het is niet makkelijk maar hat kan wel.Ik heb dat zien draaien in productie. Er staat op Technet ergens een uitleg hoe dat moet. Het is iets te lang om dat in een topic op GoT te behandelen.

Je kan SBS wel nieuwe templates aanmaken. Deze zijn alleen te gebruiken is Windows 2003 omgevingen met Windows XP als werkstations als je die Versie 2 voor Auto Enrollment gebruikt. Indien je ze niet voor AutoEnrollment gebruikt kun je ze wel voor meer doeleinden toepassen.

Verdere Info:
Met ADSI editor kun je de templates aanpassen op de volgende manier
Open ADSI editor
ga naar
Configuration container
- CN=Configurations....
- - CN = Services
- - - CN = Public Key Services
- - - - CN = Certificate Templates

Zoek de juiste template
Open deze an pas de volgende string aan
PKIExpirationPeriod
maak deze de volgende string voor 2 jaar
0x00 0x80 0x72 0x0e 0x5d 0xc2 0xfd 0xff

Langere periodes kan ook maar die string weet ik niet meer. Als je meer jaren wilt hebben moet je de andere templates even bekijken wat de exacte string is die je moet intypen.

Dit werkt perfect onder Windows 2000. Daar had je alleen Versie 1 templates.


Kijk wel uit. Dit is een SCHEMA change

Op http://www.microsoft.com/...es/security/ws03crtm.mspx staat veel info. ook de verschillen tussen Versie 1 en versie 2 templates.

[ Voor 72% gewijzigd door bolke op 04-07-2005 21:07 ]

http://www.hroling.nl


  • Dennis
  • Registratie: Februari 2001
  • Laatst online: 09:53
Bedankt voor de tip! Dit is zeker nuttige informatie waar ik iets mee kan. Wat wel naar is dat die ADSI editor vrijwel nergens te downloaden is. Ik heb gezien dat hij in de 2000 resource kit tools zit, maar in de 2003 versie (die ik geïnstalleerd heb) zit hij niet. Ik heb op deze website gekeken maar ook die "regsvr32 adsiedit.dll" geeft een foutmelding. Die daarboven gaat wél goed. De microsoft site is overigens ook niet behulpzaam.

  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 20-02 15:25

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Adsi edit is (oa) een onderdeel van de Windows Server 2003 SP1 Support Tools. Als het goed is staan de support tools ook wel op de originele Windows CD.

[ Voor 16% gewijzigd door Question Mark op 05-07-2005 10:36 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


  • bolke
  • Registratie: Oktober 2000
  • Laatst online: 06-10-2024

bolke

Klikt nu met een 50D.

Ik ben wel nieuwsgierig of het allemaal gelukt is. Geef even aan of de tip gewerkt heeft.

PS: Ik zag de benodigde DLL in de download staan die hierboven is aangeven. Daar moet het mee gaan werken dus.

http://www.hroling.nl


  • Dennis
  • Registratie: Februari 2001
  • Laatst online: 09:53
10 jaar :).
00 80 3C 48 D1 CB F4 FF

Toen was ik nog positief, maar ondanks dat hij nu op 10 jaar staat in de MMC console (dat is gelukt) maakt hij het certificaat alsnog slechts voor 2 jaar geldig. Dat is al beter dan 1 jaar maar helaas nog steeds niet voldoende :P. Beetje jammer dus.

  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Titel ietsje aangepast: [win2k3] Certificate services > [SBS 2003]Vervaldatum versie 1 certificaten van CA wijzigen*

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters


  • bolke
  • Registratie: Oktober 2000
  • Laatst online: 06-10-2024

bolke

Klikt nu met een 50D.

Dennis schreef op dinsdag 05 juli 2005 @ 14:57:
10 jaar :).
00 80 3C 48 D1 CB F4 FF

Toen was ik nog positief, maar ondanks dat hij nu op 10 jaar staat in de MMC console (dat is gelukt) maakt hij het certificaat alsnog slechts voor 2 jaar geldig. Dat is al beter dan 1 jaar maar helaas nog steeds niet voldoende :P. Beetje jammer dus.
Misschien heeft het te maken met de geldigheidduur van de CA zelf. Een certificaat kan nooit langer geldig zijn dan de CA. Indien de CA 2 jaar is kan het certificaat ook maar tww jaar zijn.

http://www.hroling.nl


Verwijderd

je wilt een secure connectie, maar je wilt wel je certificaten 10 jaar geldig laten zijn...

maar leg eens uit wat je ermee wilt bereiken? (client server connecties, vpn, webserver etc).

  • Dennis
  • Registratie: Februari 2001
  • Laatst online: 09:53
Nee, mijn CA staat voor expiratie over vijf jaar. Ik zat trouwens te kijken naar http://support.microsoft.com/?id=254632 en ik vraag me af of die de templates overschrijft. Er staat wel
A certificate that is issued by a CA is valid for the minimum of the following periods of time:
• The registry validity period that is noted earlier in this article.
• The template validity period. This is only for an Enterprise CA.
• The expiration date of the CA certificate.
Zou dus best eens kunnen helpen :).
Verwijderd schreef op woensdag 06 juli 2005 @ 11:09:
je wilt een secure connectie, maar je wilt wel je certificaten 10 jaar geldig laten zijn...

maar leg eens uit wat je ermee wilt bereiken? (client server connecties, vpn, webserver etc).
Een softwarepakket die via een webservice zijn licentie controleert. Deze webservice gaat over SSL en aan beide zijden wordt gevalideerd of de ze gebruik mogen maken van de service. Het mag niet zo zijn dat we het certificaat elk jaar moeten vervangen, want dan zouden alle klanten het pakket continue moeten updaten.

[ Voor 37% gewijzigd door Dennis op 06-07-2005 11:55 ]


Verwijderd

ok, da's een valide reden. je hebt geen controle over de machines waar die software geinstalled staat (overigens kan je wel simpel van de machine, waar de software geinstalleerd is, het certificaat exporteren).

  • Dennis
  • Registratie: Februari 2001
  • Laatst online: 09:53
Bedoel je dan een algemeen certificaat wat elke computer heeft? Die is er niet toch?
Punt blijft dat ik de webservice op de server wil laten controleren of de client die verbinding probeert te maken (het softwarepakket) daar wel recht toe heeft :).

  • Dennis
  • Registratie: Februari 2001
  • Laatst online: 09:53
Niemand nog tips? :).

  • Dennis
  • Registratie: Februari 2001
  • Laatst online: 09:53
En nog een keer een schopje. Is dit soort toepassingen eerder gebruikt door iemand en heeft die misschien tips over hoe je dit goed waterdicht kunt krijgen?

Verwijderd

Sorry to write in English, but i don't speak Dutch - do read a little though (close to my Danish).

I'm in the need of a certificate with a validity period of 25 year.
Do you have an algorithm, or maybe just the string 00 80 xx xx xx xx xx FF ?

I have the figures for 10 year (00 80 3C 48 D1 CB F4 FF), and it works perfect!

This information is to be found no where else - wonder why.

Best regards from Denmark
Pagina: 1