SAN Zertifikate mit der Microsoft CA

Auch mit der Microsoft CA (Certificate Authority) ist es möglich SAN Zertifikate über das Webenrollment (auch bekannt als „certsrv“ bekannt) auszustellen.

Hierzu muss jedoch vorher einmalig über die CMD folgender Befehl (mit anschließendem Neustart des Services) auf dem Host mit der PKI Rolle ausgeführt werden.

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc

Das Attribut für einen AltName kann direkt beim einreichen des Requests im Webinterface über das dafür vorhergesehene Feld angegeben werden. Der Syntax ist dabei wie folgt.

Microsoft CA - SAN Zertifikat

san:dns=name1.example.com[&dns=name2.example.com]

Ohne den vorherigen CMD Befehl wird der Parameter für einen AltName komplett ignoriert.

Einen Kommentar hinterlassen

Dein Kommentar