Zertifizierungsstelle: Extended Validation Zertifikate ausstellen (Grüner Balken im IE)

Auch die Windows CA ist in der Lage Extended Validation Zertifikate auszustellen, sodass im Internet Explorer der schicke grüne Balken angezeigt wird. Das Ganze ist sogar erstaunlich einfach:

Um ein Extended Validation (EV) Zertifikat auszustellen, kann eine neue Vorlage erstellt werden, oder eine bestehende abgeändert werden, ich erstelle eine neue Vorlage, dazu dupliziere ich die Vorlage “Webserver”

image

Die vorgeschlagenen Einstellungen auf dem Reiter “Kompatibilität” sind OK

 

image

Ich nenne meine Vorlage “Exchange Server EV” und lege ein Gültigkeit von 5 Jahren fest, das kann aber jeder machen wie er will

image

Ich möchte ein SAN/UC-Zertifikat erstellen, also Haken setzen bei “Vom Antragsteller zugelassene symmetrische….” und falls das Zertifikat man exportiert werden soll, Haken bei “Exportieren von privaten Schlüssel zulassen” setzen

image

Auf dem Reiter “Sicherheit” bekommt die Gruppe “Exchange Servers” Vollzugriff

image

Auf dem Reiter “Erweiterungen” den Punkt “Ausstellungsrichtlinien” markieren und auf “Bearbeite“n” klicken

image

Aktuell gibt es noch keine Richtlinie, daher auf “Hinzufügen” klicken

image

Im Dialog auf “Neu” klicken

image

Jetzt einen Namen für die Neue Richtlinie vergeben und einen Pfad für die Zertifikatserklärung angeben (er muss nicht zwingend existieren), jetzt die Objektkennung (OID) kopieren

image

Jetzt ist die neue Richtlinie sichtbar, das Fenster kann mit “OK” geschlossen werden

image

Die Zertifikatsvorlage ist fertig

image

Zum Schluss noch die neue Vorlage veröffentlichen

image

Die Vorlage ist nun veröffentlicht

image

Jetzt muss das Stammzertifizierungsstellenzertifikat zusammen mit der OID von vorhin verteilt werden, also eine neue GPO erstellen und das Stammzertifizierungsstellenzertifikat importieren

image

Sobald das Zertifikat importiert ist, Rechtsklick auf den Eintrag und den Reiter “Erweiterte Überprüfung” auswählen, hier kann nun die OID eingetragen werden

image

Jetzt nur noch die GPO verknüpfen und fertig. Bei Computern die nicht Mitglied der Domain sind, muss die OID und das Zertifikat manuell hinzugefügt werden. Dazu eine MMC mit dem Snap-In Zertifikate öffnen. Stammzertifizierungsstellenzertifikat importieren.

Jetzt Rechtsklick auf das Zertifikat –> Eigenschaften, auf dem Reiter “Erweiterte Überprüfung” kann die OID hinzugefügt werden.

image

Jetzt muss muss nur noch der Exchange Server mit einem neuen Zertifikat versehen werden, das über die neue Vorlage ausgestellt wird. Sobald das Zertifikat den Diensten zugeordnet ist, wird der Balken im Internet Explorer für die “Erweiterte Prüfung” Grün

image

Extended Validation

Ja ich geb es zu, das ist Spielerei…

2 Gedanken zu „Zertifizierungsstelle: Extended Validation Zertifikate ausstellen (Grüner Balken im IE)“

  1. Nette Spielerei – meines Erachtens aber überflüssig für die eigene CA.

    Extended Validation bedeutet ja nun mal „Erweiterte Validierung“ – also dass von einer möglichst unabhängigen Stelle die Identität des Antragstellers geprüft und dann ins SSL-Zertifikat aufgenommen wird.

    Ist auch jetzt nicht mehr so teuer wie früher – z.B. hier ab EUR 119/Jahr:
    https://www.sslpoint.com/de/ssl-zertifikate/geotrust/erweiterte-validierung/

    Wenn man also eine grüne Adressleiste (z.B. für einen Webshop) haben will, wird man die paar Euro investieren müssen….

    Antworten

Schreibe einen Kommentar