Hasain Alshakarti

När man installerar en SBS server så får man med ett self-signed certifikat med flera CN i subject-fältet, detta är ganska praktiskt om man har en server som man vill nå med https och olika namn utan den berömda certifikat varningen.

Om du själv vill skapa ett sådant certifikat med hjälp av din Windows 2003 baserade CA så kan du göra det genom att följa denna instruktion:

1. Tala om för CA tjänsten att det är OK att ändra Subject och Alternative Subject Name i ett cert request genom att köra följande kommandon på din CA server:
1. certutil.exe -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
2. certutil.exe -setreg ca\CRLFlags +CRLF_ALLOW_REQUEST_ATTRIBUTE_SUBJECT
2. Starta om Certsvc tjänsten så att inställningarna tas i bruk
3. Skapa ett certifikat begärna (cert request), eller använd exempelvis den som kommer från IIS:ens certifikat guide
• Om du vill skapa en egen request  baserad på en bef. mall så kan du använda följande steg
1. Spara ner filen req.txt (kolla attachements) till din lokala disk
2. ändra i den så CertificateTemplate pekar på den mall du vill utgå ifrån
3. kör:  certreq.exe -new req.txt cert-req.txt
4. kör följande kommando för att ändra subject-fältet så att den innehåller flera CN=
• certreq.exe -attrib "CN:localhost\nCN:www.test.com" -submit cert-req.txt new.cer
5. Installera certifikatet och koppla den till det nyckelpar som skapats genom att köra: certreq.exe -accept new.cer
6. Kör certmgr.msc och titta under private så hittar du det nya certifikatet och kan exportera den tillsammans med nycklarna

/Hasain

En av föredelarna med att köra sin CA på en Windows Server 2003 Ent. Edition är att kunna utfärda certifikat med anpassade inställningar genom att kunna utnyttja v2 certifikat mallar. De flesta som jag har varit i kontakt med vill ha v2 mallar för att utöka giltighetstiden på ett certifikat.

Om man nu inte har en Windows server 2003 Ent. Edition men vill gärna få exempelvis ett smart card logon certifikat att gälla i tre eller fyra år så kan man pröva följande:

1. Använd certtmpl.msc för att skapa en kopia av någon av mallarna som finns i lista, ta exempelvis user mallen och skapa en kopia av den
2. Justera tiden till önskad inställning, exempelvis 3 år
3. Använd adsiedit.msc för att plocka fram den nya mallen som finns under Configuration/Services/Public Key Services/Certificate Templates
4. Leta nu efter pKIExpirationPeriod bland attributen för mallen
5. kopiera nu värdet av detta attribut, bör linka detta: 00 00 E5 1C BA 84 FB FF
6. Plocka fram den v1 mall som du vill utöka tiden på
7. Leta nu efter pKIExpirationPeriod bland attributen för mallen
8. Editera den och klistra in värden som du kopierade från förra mallen
9. Nu har du en v1 mall som gäller i 3 år 🙂

Din CA kommer inte att tycka att detta är något fel, mallen är ju en v1 mall med lite längre giltighetstid men glöm nu inte att se till att din CA kan utfärda certifikat som gäller mer än standard tiden på 2 år genom at ändra nycklarna

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc
\Configuration\ CA xxx
\
ValidityPeriod

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc
\Configuration\ CA xxx
\
ValidityPeriodUnits

Detta bör fungera utan problem i de flesta system…

/Hasain