Zertifikatvorlage ohne DisplayName

Zertifikatvorlage ohne Anzeigename

Ausgestelltes Zertifikat ohne Displayname

Wenn ein Zertifikat ausgestellt wurde und es wird nur die OID “Object Identifier” anstatt des Anzeigenamen angezeigt, kann das wie folgt überprüft werden.

Zertifikatvorlage ohne Anzeigename

In der Regel kommt das nur vor, wenn die Zertifikatvorlage neu ist und die Informationen lokal noch nicht vorliegen. Mit certutil -pulse oder certutil -pulse -user können die Daten entsprechend aktualisiert (Cache) werden.

certutil -pulse -user

Zertifikatvorlage ohne Anzeigename

Sollte das nicht helfen, dann lohnt sich zuerst ein Blick in die Registry.

Im User-Kontext liegen die Informationen zu den Zertifikatvorlagen an dieser Stelle:

HKEY_CURRENT_USER\Software\Microsoft\Cryptography\CertificateTemplateCache

CertificateTemplateCache

Der Vorlagenname SHA256CodeSigning ist nicht vorhanden. Der Anzeigename kann aber auch per Kommandozeile lokal aus der Registry abgefragt werden.

certutil -oid 1.3.6.1.4.1.311.21.8.6388869.14144970.6768276.10594950.14018704.161.1414129.15813307

Das Ergebnis wäre “Unkown ObjectId” No Display Names

Unkown ObjectID

Sollte die Vorlage auch nach einem absetzen des Befehls certutil -pulse -user hier nicht vorliegen, dann kann die Abfrage gegen das Active Directory abgesetzt werden. Zur Auflösung des Anzeigenamen benötigen wir lediglich wie oben die OID jedoch mit dem Paramter -ds.

certutil -ds 1.3.6.1.4.1.311.21.8.6388869.14144970.6768276.10594950.14018704.161.1414129.15813307

certutil -ds OID

Auch im oberen Abschnitt fehlt die Ausgabe des Anzeigenamen. Jetzt ist der richtige Zeitpunkt gekommen sich die Daten in der Konfigurationspartition anzugucken. Wie zu erkennen ist, fehlt hier der DisplayName zur Zertifikatvorlage. Ohne Displayname keine Auflösung der OID.

Missing DisplayName Certificate Template

Der Anzeigename kann der Vorlage per Powerhell hinzugefügt werden.

Get-ADObject “CN=15813307.086C5544E1707801FBC640F2D73F87A2,CN=OID,CN=Public Key Services,CN=Services,CN=Configuration,DC=windowspapst,DC=de” | Set-ADObject -Add @{displayname=”SHA256CodeSigning”}

Set Displayname Certificate Template

CN=OID

Nachdem der DisplayName gesetzt wurde, kann sich auch der Client die Informationen wieder aus dem Active Directory ziehen.

CertificateTemplateCache DisplaName

Mit certutil -oid 1.3.6.1.4.1.311.21.8.6388869.14144970.6768276.10594950.14018704.161.1414129.15813307 lässt sich nun auch der Anzeigename lokal auflösen.

certutil -oid

Der Anzeigename wird nun wieder korrekt angezeigt.

Certificate Template DisplayName