ADCS Vorlagen-Versionen
Zertifikatsvorlagen in ADCS – welche Version wann die richtige Wahl istZertifikatsvorlagen v2 vs. v3 vs. v4 – wann was?
Die Versionsnummer einer Zertifikatsvorlage ist kein kosmetisches Detail, sondern entscheidet darüber, welche Kryptografie, welcher Schlüsselspeicher und welche Sicherheitsfeatures dir überhaupt zur Verfügung stehen. Meine klare Empfehlung: Neue Vorlagen baust du grundsätzlich als v3, weil das moderne Krypto (ECC, SHA-2, CNG) mitbringt und trotzdem breit kompatibel ist. v4 nimmst du nur dort, wo du Schlüsselattestierung oder TPM-Bindung wirklich brauchst – und v2 nur, wenn dich Alt-Clients zwingen. v1 hat 2026 nichts mehr in einer Vorlage zu suchen, die du frisch anlegst.
Abb. 1: Die vier Vorlagen-Versionen im Vergleich – Krypto, Schlüsselspeicher und Einsatzfeld.
1. Was die Versionsnummer technisch bedeutet
Die Vorlagen-Version (Schema-Version im AD) bestimmt drei Dinge gleichzeitig: welcher Kryptografie-Provider genutzt wird, welche Algorithmen erlaubt sind und welche Sicherheitsmechanismen überhaupt konfigurierbar sind. Der größte Bruch liegt zwischen v2 und v3 – hier wechselt ADCS vom alten CSP-Modell (Cryptographic Service Provider) auf CNG (Cryptography Next Generation) mit Key Storage Providern (KSP).
Dieser Wechsel ist der eigentliche Knackpunkt. Solange du auf v2 bleibst, bist du auf RSA mit Legacy-CSP festgenagelt. Erst v3 öffnet die Tür zu ECC-Kurven wie P-256 und P-384, zu modernen Hash-Verfahren und damit zu allem, was du für Smartcards und zeitgemäße TLS-Konfigurationen brauchst. v4 setzt obendrauf und ergänzt Schlüsselattestierung, separate Renewal-Keys und feinere Kompatibilitätssteuerung.
Die Versionen im direkten Vergleich
|
Merkmal |
v2 |
v3 |
v4 |
|---|---|---|---|
|
Eingeführt mit |
Server 2003 |
Server 2008 |
Server 2012 |
|
Krypto-Provider |
CSP (Legacy) |
CNG / KSP |
CNG / KSP |
|
ECC-Unterstützung |
Nein |
Ja |
Ja |
|
Schlüsselattestierung |
Nein |
Nein |
Ja |
|
Separater Renewal-Key |
Nein |
Nein |
Ja |
|
Min. Client |
XP / 2003 |
Vista / 2008 |
Win 8 / 2012 |
2. Der Entscheidungsweg – welche Version für welchen Fall
Statt einer Versionsmatrix im Kopf zu jonglieren, arbeitest du dich an drei Fragen entlang. Sie führen dich in den allermeisten Fällen zur richtigen Wahl.
Abb. 2: Entscheidungsbaum für die Vorlagen-Version – drei Fragen, eine klare Antwort.
Die erste Frage ist die nach Hardware-Schlüsselschutz: Willst du sicherstellen, dass der private Schlüssel ein TPM oder eine Smartcard nie verlässt, und das auch nachweisbar machen, führt kein Weg an v4 vorbei. Die zweite Frage betrifft moderne Krypto: ECC und SHA-2 setzen mindestens v3 voraus. Die dritte ist die Alt-Last-Frage – nur echte XP- oder Server-2003-Clients rechtfertigen heute noch v2.
|
Info · Verweis Welche Version du wählst, beeinflusst direkt, wie sauber das Auto-Enrollment läuft – etwa bei der Schlüsselgenerierung im KSP. Den kompletten Auto-Enrollment-Ablauf inklusive Troubleshooting zeigt Spoke 3.1 „Auto-Enrollment konfigurieren“. |
|---|
3. v3 als pragmatischer Standard – und wann v4 sich lohnt
In 80 Prozent meiner Projekte ist v3 die richtige Wahl. Es bringt CNG, ECC und SHA-2 mit, läuft auf allen Windows-Versionen ab Vista und Server 2008 und hat keine der Alt-Lasten von v2. Du bekommst moderne Kryptografie ohne Kompatibilitätsrisiko – das ist der Süße-Punkt.
v4 lohnt sich konkret in drei Szenarien: Erstens Schlüsselattestierung, bei der die CA prüft und bestätigt, dass der private Schlüssel tatsächlich in einem TPM oder einer Smartcard erzeugt wurde. Zweitens hochsichere Smartcard-Szenarien wie Windows Hello for Business. Drittens, wenn du den Renewal-Vorgang über einen separaten Schlüssel absichern willst. Für ein normales Computer-Authentifizierungszertifikat ist v4 dagegen Overkill.
4. Migration einer Vorlage auf eine höhere Version
Eine bestehende v2-Vorlage hebst du nicht einfach per Knopfdruck auf v3 – der Wechsel des Krypto-Providers ist zu tiefgreifend. Der saubere Weg ist eine neue v3-Vorlage als Kopie, parallel ausgerollt, und ein gestaffelter Umstieg. Mit PowerShell verschaffst du dir zunächst einen Überblick über den Bestand.
|
PowerShell # Alle Vorlagen mit ihrer Schema-Version auflisten # SchemaVersion 2 = v2, 3 = v3, 4 = v4 Import-Module PSPKI Get-CertificateTemplate | Select-Object Name, SchemaVersion, @{N="KeyAlgorithm";E={$_.CryptographyServiceProvider}} | Sort-Object SchemaVersion | Format-Table -AutoSize
# Welche v2-Vorlagen sind noch aktiv veroeffentlicht? certutil -CATemplates | Select-String "Template" | Out-String
# Hinweis: Eine v2-Vorlage NICHT in-place hochziehen. # Stattdessen duplizieren -> v3 anlegen -> parallel ausrollen. |
|---|
|
Warnung · Klassische Falle Eine v3- oder v4-Vorlage auf alten Clients ausrollen, die CNG nicht voll beherrschen. Das führt nicht zu einer sauberen Fehlermeldung, sondern zu Zertifikaten, die scheinbar ausgestellt sind, aber bei der konkreten Nutzung (z. B. EAP-TLS) scheitern. Prüf die Client-Basis, bevor du eine Vorlage breit verknüpfst – ein einziger uralter Terminalserver kann dir den Rollout vermiesen. |
|---|
|
Praxis-Tipp · Aus dem Beratungsalltag Benenne Vorlagen so, dass die Version im Namen steht, etwa Trendforge-Computer-Auth-v3. Klingt banal, spart aber im Audit und beim Troubleshooting massiv Zeit, weil du auf einen Blick siehst, was wo läuft. ADCS zeigt die Schema-Version sonst nur über Umwege – und spätestens beim dritten Admin im Projekt weiß niemand mehr, welche Vorlage welche Krypto mitbringt. |
|---|
Praxis-Beispiel: Trendforge Digital GmbH
Die Trendforge Digital GmbH, ein cloud-affines Tech-Scaleup mit rund 400 Mitarbeitern, wollte Windows Hello for Business mit zertifikatsbasierter Anmeldung ausrollen. Ausgangslage: eine in die Jahre gekommene v2-Vorlagenlandschaft, gewachsen seit der ersten ADCS-Installation, mit RSA-only und Legacy-CSP.
Die Maßnahme: Für die WHfB-Anmeldung kam eine v4-Vorlage mit Schlüsselattestierung zum Einsatz, damit die CA bestätigt, dass der private Schlüssel im TPM erzeugt wurde. Die übrigen Computer- und Nutzerzertifikate wurden auf neue v3-Vorlagen migriert – parallel ausgerollt, die alten v2-Vorlagen erst nach vollständiger Ablösung deaktiviert.
Das Ergebnis: WHfB läuft mit echter Hardware-Bindung, der Rest der PKI ist auf moderne Krypto gehoben, und die v2-Alt-Last ist Geschichte. Der entscheidende Punkt war, v4 gezielt nur dort einzusetzen, wo die Attestierung gebraucht wurde, statt pauschal alles auf die höchste Version zu zwingen.
Verwandte Themen
Häufige Fragen (FAQ)
Was ist der Unterschied zwischen v2 und v3 Vorlagen?
Der zentrale Unterschied ist der Krypto-Provider: v2 nutzt das alte CSP-Modell und ist auf RSA festgelegt, v3 wechselt auf CNG mit Key Storage Providern und ermöglicht damit ECC und moderne Hash-Verfahren. Praktisch heißt das: Erst ab v3 bekommst du zeitgemäße Kryptografie. v2 ist nur noch für echte Alt-Clients relevant.
Welche Vorlagen-Version sollte ich für neue Vorlagen wählen?
In den meisten Fällen v3 – das bringt CNG, ECC und SHA-2 mit und läuft auf allen Windows-Versionen ab Vista beziehungsweise Server 2008. v4 nimmst du nur, wenn du Schlüsselattestierung oder TPM-Bindung brauchst. v1 und v2 sind für neue Vorlagen 2026 nicht mehr zu empfehlen.
Wann brauche ich eine v4-Vorlage?
Immer dann, wenn die CA bestätigen soll, dass ein privater Schlüssel tatsächlich in einem TPM oder einer Smartcard erzeugt wurde – das ist die Schlüsselattestierung. Typische Fälle sind Windows Hello for Business und hochsichere Smartcard-Szenarien. Für Standard-Computerzertifikate ist v4 überdimensioniert.
Kann ich eine v2-Vorlage direkt auf v3 hochstufen?
Nein, nicht sauber in-place – der Wechsel des Krypto-Providers von CSP auf CNG ist zu tiefgreifend. Der empfohlene Weg ist eine neue v3-Vorlage als Kopie, paralleler Rollout und ein gestaffelter Umstieg. Erst nach vollständiger Ablösung deaktivierst du die alte v2-Vorlage.
Funktionieren v3-Vorlagen auf allen Clients?
Auf allen Windows-Versionen ab Vista und Server 2008, also praktisch der gesamten heute relevanten Basis. Probleme entstehen nur bei echten Alt-Systemen wie XP oder Server 2003, die CNG nicht voll beherrschen. Prüf die Client-Basis vor einem breiten Rollout, sonst riskierst du scheinbar gültige, aber unbrauchbare Zertifikate.
Wie sehe ich, welche Version eine bestehende Vorlage hat?
Am schnellsten über PowerShell mit dem PSPKI-Modul: Get-CertificateTemplate zeigt die SchemaVersion (2 = v2, 3 = v3, 4 = v4). In der grafischen Vorlagenverwaltung ist die Version auf dem Reiter „Allgemein“ nur indirekt erkennbar. Ein sprechender Vorlagenname mit Versionsangabe erspart dir die Sucherei.
Nächste Schritte mit boddenberg.de
Die Vorlagen-Landschaft ist oft das, was über Jahre ungeplant wächst – und genau dort lohnt sich ein frischer Blick. Drei Wege, wie ich dich unterstütze:
Schick mir eine kurze Mail mit deinem Szenario, und du bekommst innerhalb eines Werktags eine Einschätzung, welcher Weg am sinnvollsten ist.
Kontakt: Uli Boddenberg · boddenberg.de · Dortmund