Skift dato |
Beskrivelse |
---|---|
9/10/2024 |
Beskrivelsen af fuld gennemtvingelsestilstand er ændret i afsnittet "Tidsindstilling for Windows-opdateringer", så den afspejler nye datoer. 11. februar 2025 flytter enheder til gennemtvingelsestilstand, men lader understøttelsen gå tilbage til kompatibilitetstilstand. Fuld understøttelse af registreringsdatabasenøgler slutter nu d. 10. september 2025. |
7/5/2024 |
Der er tilføjet oplysninger om SID-udvidelsen i registreringsdatabasenøglen Nøgledistributionscenter (KDC) i afsnittet "Oplysninger om registreringsdatabasenøgle". |
10/10/2023 |
Tilføjet oplysninger om standardændringer for stærke tilknytninger under "Tidslinje for Windows Opdateringer" |
6/30/2023 |
Datoen for fuld gennemtvingelsestilstand blev ændret fra 14. november 2023 til 11. februar 2025 (disse datoer blev tidligere angivet som 19. maj 2023 til 14. november 2023). |
1/26/2023 |
Ændret fjernelse af deaktiveret tilstand fra 14. februar 2023 til 11. april 2023 |
Sammendrag
CVE-2022-34691,CVE-2022-26931 og CVE-2022-26923 løser en rettighedsudvidelse, der kan opstå, når Kerberos Key Distribution Center (KDC) vedligeholder en certifikatbaseret godkendelsesanmodning. Før sikkerhedsopdateringen d. 10. maj 2022 ville certifikatbaseret godkendelse ikke tage højde for et dollartegn ($) i slutningen af et computernavn. Dette gjorde det muligt at efterligne relaterede certifikater (efterlignede) på forskellige måder. Desuden introducerede konflikter mellem USER Principal Names (UPN) og sAMAccountName andre emuleringssårbarheder (spoofing), som vi også løser med denne sikkerhedsopdatering.
Gør noget
For at beskytte dit miljø skal du udføre følgende trin for certifikatbaseret godkendelse:
-
Opdater alle servere, der kører Active Directory Certificate Services og Windows-domænecontrollere, som udfører certifikatbaseret godkendelse med opdateringen fra 10. maj 2022 (se Kompatibilitetstilstand). Opdateringen fra 10. maj 2022 leverer overvågningshændelser , der identificerer certifikater, der ikke er kompatible med fuld gennemtvingelsestilstand.
-
Hvis der ikke oprettes overvågningshændelseslogge på domænecontrollere i en måned efter installation af opdateringen, skal du fortsætte med at aktivere fuld gennemtvingelsestilstand på alle domænecontrollere. Inden d. 11. februar 2025 opdateres alle enheder til fuld gennemtvingelsestilstand. Hvis et certifikat i denne tilstand ikke opfylder de stærke (sikre) tilknytningskriterier (se Certifikattilknytninger), nægtes godkendelse. Muligheden for at gå tilbage til kompatibilitetstilstand forbliver dog indtil den 10. september 2025.
Overvågningshændelser
Windows-opdateringen fra 10. maj 2022 tilføjer følgende hændelseslogge.
Der blev ikke fundet stærke certifikattilknytninger, og certifikatet havde ikke den nye sid-udvidelse (Security Identifier), som KDC kunne validere.
Hændelseslog |
System |
Hændelsestype |
Advarsel, hvis KDC er i kompatibilitetstilstand Fejl, hvis KDC er i gennemtvingelsestilstand |
Hændelseskilde |
Kdcsvc |
Hændelses-id |
39 41 (Til Windows Server 2008 R2 SP1 og Windows Server 2008 SP2) |
Hændelsestekst |
Nøgledistributionscenteret (KDC) fandt et brugercertifikat, der var gyldigt, men som ikke kunne knyttes til en bruger på en stærk måde (f.eks. via eksplicit tilknytning, tilknytning af nøgletillidsforhold eller et SID). Sådanne certifikater skal enten erstattes eller knyttes direkte til brugeren via eksplicit tilknytning. Se https://go.microsoft.com/fwlink/?linkid=2189925 for at få mere at vide. Bruger: <hovednavn> Certifikatemne: <emnenavn i Certifikat> Certifikatudsteder: <fulde domænenavn (FQDN) > Certifikatserienummer: <serienummer for certifikat> Certifikattommeltryk: <thumbprint af certifikat> |
Certifikatet blev udstedt til brugeren, før brugeren eksisterede i Active Directory, og der blev ikke fundet nogen stærk tilknytning. Hændelsen logføres kun, når KDC er i kompatibilitetstilstand.
Hændelseslog |
System |
Hændelsestype |
Fejl |
Hændelseskilde |
Kdcsvc |
Hændelses-id |
40 48 (Til Windows Server 2008 R2 SP1 og Windows Server 2008 SP2 |
Hændelsestekst |
Nøgledistributionscenteret (KDC) fandt et brugercertifikat, der var gyldigt, men som ikke kunne knyttes til en bruger på en stærk måde (f.eks. via eksplicit tilknytning, tilknytning af nøgletillidsforhold eller et SID). Certifikatet overgik også den bruger, det var tilknyttet, så det blev afvist. Se https://go.microsoft.com/fwlink/?linkid=2189925 for at få mere at vide. Bruger: <hovednavn> Certifikatemne: <emnenavn i Certifikat> Certifikatudsteder: <FQDN-> Certifikatserienummer: <serienummer for certifikat> Certifikattommeltryk: <thumbprint af certifikat> Udstedelsestidspunkt for certifikat: <FILETIME for certifikat> Kontooprettelsestidspunkt: <FILETIME for hovedobjektet i AD-> |
Sid'et i den nye udvidelse af brugercertifikatet stemmer ikke overens med brugernes SID, hvilket indebærer, at certifikatet er udstedt til en anden bruger.
Hændelseslog |
System |
Hændelsestype |
Fejl |
Hændelseskilde |
Kdcsvc |
Hændelses-id |
41 49 (Til Windows Server 2008 R2 SP1 og Windows Server 2008 SP2) |
Hændelsestekst |
Nøgledistributionscentret (KDC) fandt et brugercertifikat, der var gyldigt, men som indeholdt et andet SID end den bruger, det er tilknyttet. Derfor mislykkedes anmodningen om certifikatet. Se https://go.microsoft.cm/fwlink/?linkid=2189925 for at få mere at vide. Bruger: <hovednavn> Bruger-SID: <SID for den godkendende hovedstols> Certifikatemne: <emnenavn i Certifikat> Certifikatudsteder: <FQDN-> Certifikatserienummer: <serienummer for certifikat> Certifikattommeltryk: <thumbprint af certifikat> Certifikat-SID: <SID fundet i den nye> certifikatudvidelse |
Certifikattilknytninger
Domæneadministratorer kan manuelt knytte certifikater til en bruger i Active Directory ved hjælp af attributten altSecurityIdentities for brugerobjektet. Der er seks understøttede værdier for denne attribut, hvor tre tilknytninger betragtes som svage (usikre), og de tre andre betragtes som stærke. Generelt betragtes tilknytningstyper som stærke, hvis de er baseret på identifikatorer, som du ikke kan genbruge. Derfor betragtes alle tilknytningstyper baseret på brugernavne og mailadresser som svage.
Kortlægning |
Eksempel |
Type |
Bemærkninger |
X509IssuerSubject |
"X509:<I>IssuerName<S>SubjectName" |
Svag |
|
X509SubjectOnly |
"X509:<S>SubjectName" |
Svag |
|
X509RFC822 |
"X509:<RFC822>user@contoso.com" |
Svag |
Mailadresse |
X509IssuerSerialNumber |
"X509:<jeg>IssuerName<SR->1234567890" |
Stærk |
Anbefalet |
X509SKI |
"X509:<SKI>123456789abcdef" |
Stærk |
|
X509SHA1PublicKey |
"X509:<SHA1-PUKEY>123456789abcdef" |
Stærk |
Hvis kunder ikke kan genudgivet certifikater med den nye SID-udvidelse, anbefaler vi, at du opretter en manuel tilknytning ved hjælp af en af de stærke tilknytninger, der er beskrevet ovenfor. Det kan du gøre ved at føje den relevante tilknytningsstreng til en brugerattribut for altSecurityIdentities i Active Directory.
Seddel Visse felter, f.eks. Udsteder, Emne og Serienummer, rapporteres i formatet "fremad". Du skal fortryde dette format, når du føjer tilknytningsstrengen til attributten altSecurityIdentities . Hvis du f.eks. vil føje tilknytningen X509IssuerSerialNumber til en bruger, skal du søge i felterne "Udsteder" og "Serienummer" for det certifikat, du vil knytte til brugeren. Se eksempeloutputtet nedenfor.
-
Udsteder: CN=CONTOSO-DC-CA, DC=contoso, DC=com
-
Serienummer: 2B0000000011AC0000000012
Opdater derefter brugerens attribut for altSecurityIdentities i Active Directory med følgende streng:
-
"X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"
Hvis du vil opdatere denne attribut ved hjælp af Powershell, kan du bruge kommandoen nedenfor. Husk, at det som standard kun er domæneadministratorer, der har tilladelse til at opdatere denne attribut.
-
set-aduser 'DomainUser' -replace @{altSecurityIdentities= "X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>1200000000AC1100000002B"}
Bemærk, at når du vender serienummeret om, skal du beholde byterækkefølgen. Det betyder, at vending af serienummeret "A1B2C3" skal resultere i strengen "C3B2A1" og ikke "3C2B1A". Du kan få mere at vide under HowTo: Knytte en bruger til et certifikat via alle de metoder, der er tilgængelige i attributten altSecurityIdentities.
Tidslinje for Windows-opdateringer
Vigtigt! Aktiveringsfasen starter med opdateringerne fra d. 11. april 2023 til Windows, som ignorerer indstillingen deaktiveret tilstand i registreringsdatabasenøglen.
Når du har installeret Windows-opdateringerne fra d. 10. maj 2022, er enhederne i kompatibilitetstilstand. Hvis et certifikat kan knyttes kraftigt til en bruger, udføres godkendelsen som forventet. Hvis et certifikat kun kan knyttes svagt til en bruger, udføres godkendelsen som forventet. Der logføres dog en advarselsmeddelelse, medmindre certifikatet er ældre end brugeren. Hvis certifikatet er ældre end brugeren, og registreringsdatabasenøglen til sikkerhedskopiering af certifikat ikke er til stede, eller området er uden for den backdating-kompensation, mislykkes godkendelsen, og der logføres en fejlmeddelelse. Hvis registreringsdatabasenøglen til sikkerhedskopiering af certifikat er konfigureret, logføres der en advarselsmeddelelse i hændelsesloggen, hvis datoerne falder inden for kompensationen for tilbageførte certifikater.
Når du har installeret Windows-opdateringerne fra d. 10. maj 2022, skal du se efter eventuelle advarsler, der vises efter en måned eller mere. Hvis der ikke er nogen advarsler, anbefaler vi på det kraftigste, at du aktiverer fuld gennemtvingelsestilstand på alle domænecontrollere ved hjælp af certifikatbaseret godkendelse. Du kan bruge KDC-registreringsdatabasenøglen til at aktivere fuld gennemtvingelsestilstand.
Medmindre det er opdateret til denne tilstand tidligere, opdaterer vi alle enheder til fuld gennemtvingelsestilstand senest d. 11. februar 2025 eller nyere. Hvis et certifikat ikke kan tilknyttes kraftigt, nægtes godkendelse. Muligheden for at gå tilbage til kompatibilitetstilstand forbliver indtil den 10. september 2025. Efter denne dato understøttes registreringsdatabaseværdien StrongCertificateBindingEnforcement ikke længere.
Hvis certifikatbaseret godkendelse afhænger af en svag tilknytning, som du ikke kan flytte fra miljøet, kan du placere domænecontrollere i deaktiveret tilstand ved hjælp af en indstilling for en registreringsdatabasenøgle. Microsoft anbefaler ikke dette, og vi fjerner deaktiveret tilstand d. 11. april 2023.
Når du har installeret Windows-opdateringerne fra d. 13. februar 2024 eller nyere på Server 2019 og nyere og understøttede klienter med den valgfri RSAT-funktion installeret, vil certifikattilknytningen i Active Directory-brugere & Computere som standard vælge stærk tilknytning ved hjælp af X509IssuerSerialNumber i stedet for svag tilknytning ved hjælp af X509IssuerSubject. Indstillingen kan stadig ændres efter behov.
Fejlfinding
-
Brug Kerberos Operational-loggen på den relevante computer til at afgøre, hvilken domænecontroller der ikke kan logge på. Gå til Logbog > Applications and Services Logs\Microsoft \Windows\Security-Kerberos\Operational.
-
Se efter relevante hændelser i systemhændelsesloggen på den domænecontroller, som kontoen forsøger at godkende mod.
-
Hvis certifikatet er ældre end kontoen, skal du genudsende certifikatet eller tilføje en sikker tilknytning af altSecurityIdentities til kontoen (se Certifikattilknytninger).
-
Hvis certifikatet indeholder en SID-udvidelse, skal du kontrollere, at SID'et svarer til kontoen.
-
Hvis certifikatet bruges til at godkende flere forskellige konti, skal hver konto have en separat altSecurityIdentities-tilknytning .
-
Hvis certifikatet ikke har en sikker tilknytning til kontoen, skal du tilføje et eller forlade domænet i kompatibilitetstilstand, indtil der kan tilføjes et.
Et eksempel på TLS-certifikattilknytning er at bruge et IIS intranet-webprogram.
-
Når du har installeret BESKYTTELSE af CVE-2022-26391 og CVE-2022-26923 , bruger disse scenarier som standard Kerberos Certificate Service For User-protokollen (S4U) til certifikattilknytning og godkendelse.
-
I Kerberos Certificate S4U-protokollen flyder godkendelsesanmodningen fra programserveren til domænecontrolleren, ikke fra klienten til domænecontrolleren. Derfor vil relevante hændelser være på programserveren.
Oplysninger om registreringsdatabasenøgle
Når du har installeret BESKYTTELSE AF CVE-2022-26931 og CVE-2022-26923 i de Windows-opdateringer, der er udgivet mellem 10. maj 2022 og 10. september 2025 eller nyere, er følgende registreringsdatabasenøgler tilgængelige.
Denne registreringsdatabasenøgle ændrer gennemtvingelsestilstanden for KDC til deaktiveret tilstand, kompatibilitetstilstand eller fuld gennemtvingelsestilstand.
Vigtigt!
Brug af denne registreringsdatabasenøgle er en midlertidig løsning til miljøer, der kræver det, og som skal udføres med forsigtighed. Hvis du bruger denne registreringsdatabasenøgle, betyder det følgende for dit miljø:
-
Denne registreringsdatabasenøgle fungerer kun i kompatibilitetstilstand fra og med opdateringer, der er udgivet d. 10. maj 2022.
-
Denne registreringsdatabasenøgle understøttes ikke, når du har installeret opdateringer til Windows, der er udgivet d. 10. september 2025.
-
Registreringen og valideringen af SID-udvidelsen, der bruges af Strong Certificate Binding Enforcement, afhænger af KDC-registreringsdatabasenøglen UseSubjectAltName-værdien . SID-udvidelsen bruges, hvis registreringsdatabaseværdien ikke findes, eller hvis værdien er angivet til en værdi på 0x1. SID-udvidelsen bruges ikke, hvis UseSubjectAltName findes, og værdien er indstillet til 0x0.
Undernøgle i registreringsdatabasen |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Værdi |
StrongCertificateBindingEnforcement |
Datatype |
REG_DWORD |
Data |
1 – Kontrollerer, om der er en stærk certifikattilknytning. Hvis ja, er godkendelse tilladt. Ellers kontrollerer KDC, om certifikatet har den nye SID-udvidelse, og validerer det. Hvis denne udvidelse ikke er til stede, tillades godkendelse, hvis brugerkontoen er før certifikatet. 2 – Kontrollerer, om der er en stærk certifikattilknytning. Hvis ja, er godkendelse tilladt. Ellers kontrollerer KDC, om certifikatet har den nye SID-udvidelse, og validerer det. Hvis denne udvidelse ikke findes, nægtes godkendelse. 0 – Deaktiverer kontrol af stærk certifikattilknytning. Anbefales ikke, fordi dette deaktiverer alle sikkerhedsforbedringer. Hvis du angiver dette til 0, skal du også angive CertificateMappingMethods til 0x1F som beskrevet i afsnittet Schannel-registreringsdatabasenøgle nedenfor, for at computercertifikatbaseret godkendelse kan lykkes. |
Genstart Påkrævet? |
Nej |
Når et serverprogram kræver klientgodkendelse, forsøger Schannel automatisk at tilknytte det certifikat, som TLS-klienten leverer til en brugerkonto. Du kan godkende brugere, der logger på med et klientcertifikat, ved at oprette tilknytninger, der relaterer certifikatoplysningerne til en Windows-brugerkonto. Når du har oprettet og aktiveret en certifikattilknytning, knytter serverprogrammet automatisk den pågældende bruger til den relevante Windows-brugerkonto, hver gang en klient præsenterer et klientcertifikat.
Schannel forsøger at tilknytte hver certifikattilknytningsmetode, du har aktiveret, indtil det lykkes. Schannel forsøger først at tilknytte S4U2Self-tilknytningerne (Service-For-User-To-Self). Emne-/udsteder-, udsteder- og UPN-certifikattilknytninger betragtes nu som svage og er som standard deaktiveret. Bitmasked summen af de valgte indstillinger bestemmer listen over tilgængelige certifikattilknytningsmetoder.
Registreringsdatabasenøglen SChannel blev 0x1F og er nu 0x18. Hvis du oplever godkendelsesfejl med Schannel-baserede serverprogrammer, anbefaler vi, at du udfører en test. Tilføj eller rediger nøgleværdien CertificateMappingMethods i registreringsdatabasen på domænecontrolleren, og indstil den til 0x1F og se, om det løser problemet. Se i systemhændelseslogfilerne på domænecontrolleren efter eventuelle fejl, der er angivet i denne artikel for at få flere oplysninger. Husk, at hvis du ændrer registreringsdatabasenøgleværdien SChannel tilbage til den tidligere standardværdi (0x1F), ændres den tilbage til at bruge svage metoder til certifikattilknytning.
Undernøgle i registreringsdatabasen |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel |
Værdi |
CertificateMappingMethods |
Datatype |
DWORD |
Data |
0x0001 – Tilknytning af emne/udstedercertifikat (svag – deaktiveret som standard) 0x0002 – Tilknytning af udstedercertifikat (svag – Deaktiveret som standard) 0x0004 – UPN-certifikattilknytning (svag – deaktiveret som standard) 0x0008 – S4U2Selv certifikattilknytning (stærk) 0x0010 – S4U2Selv eksplicit certifikattilknytning (stærk) |
Genstart Påkrævet? |
Nej |
Du kan finde flere ressourcer og support i afsnittet "Yderligere ressourcer".
Når du har installeret opdateringer, som adresserer CVE-2022-26931 og CVE-2022-26923, kan godkendelse mislykkes i tilfælde, hvor brugercertifikaterne er ældre end brugernes oprettelsestid. Denne registreringsdatabasenøgle giver mulighed for vellykket godkendelse, når du bruger svage certifikattilknytninger i dit miljø, og certifikattiden er før brugeroprettelsestiden inden for et angivet område. Denne registreringsdatabasenøgle påvirker ikke brugere eller computere med stærke certifikattilknytninger, da certifikattid og tid til oprettelse af brugere ikke kontrolleres med stærke certifikattilknytninger. Denne registreringsdatabasenøgle har ingen effekt, når StrongCertificateBindingEnforcement er indstillet til 2.
Brug af denne registreringsdatabasenøgle er en midlertidig løsning til miljøer, der kræver det, og som skal udføres med forsigtighed. Hvis du bruger denne registreringsdatabasenøgle, betyder det følgende for dit miljø:
-
Denne registreringsdatabasenøgle fungerer kun i kompatibilitetstilstand fra og med opdateringer, der er udgivet d. 10. maj 2022. Godkendelse tillades inden for kompensationsforskydningen, men en hændelseslogadvarsel logføres for den svage binding.
-
Aktivering af denne registreringsdatabasenøgle giver mulighed for godkendelse af brugeren, når certifikattiden er før brugerens oprettelsestid inden for et angivet område som en svag tilknytning. Svage tilknytninger understøttes ikke efter installation af opdateringer til Windows, der er udgivet d. 10. september 2025.
Undernøgle i registreringsdatabasen |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc |
Værdi |
CertificateBackdatingCompensation |
Datatype |
REG_DWORD |
Data |
Værdier for løsning i omtrentlige år:
Bemærk! Hvis du kender certifikaternes levetid i dit miljø, skal du indstille denne registreringsdatabasenøgle til en smule længere end certifikatets levetid. Hvis du ikke kender certifikatets levetid for dit miljø, skal du angive denne registreringsdatabasenøgle til 50 år. Standardværdien er 10 minutter, når denne nøgle ikke er til stede, hvilket svarer til ADCS (Active Directory Certificate Services). Den maksimale værdi er 50 år (0x5E0C89C0). Denne nøgle angiver den tidsforskel i sekunder, som Nøgledistributionscenter (KDC) ignorerer mellem et godkendelsescertifikats udstedelsestid og kontooprettelsestiden for bruger-/computerkonti. Vigtigt! Angiv kun denne registreringsdatabasenøgle, hvis dit miljø kræver det. Hvis du bruger denne registreringsdatabasenøgle, deaktiveres en sikkerhedskontrol. |
Genstart Påkrævet? |
Nej |
Virksomhedsnøglecentre
Enterprise Certificate Authorities (CA) begynder at tilføje en ny ikke-kritisk udvidelse med OID (Object Identifier) (1.3.6.1.4.1.311.25.2) som standard i alle certifikater, der er udstedt mod onlineskabeloner, når du har installeret Windows-opdateringen fra d. 10. maj 2022. Du kan stoppe tilføjelsen af denne udvidelse ved at indstille 0x00080000 bit i værdien msPKI-Enrollment-Flag for den tilsvarende skabelon.
Du kører følgende certutil-kommando for at udelukke certifikater fra brugerskabelonen fra at hente den nye udvidelse.
-
Log på en nøglecenterserver eller en domænetilsluttet Windows 10-klient med virksomhedsadministratoren eller de tilsvarende legitimationsoplysninger.
-
Åbn en kommandoprompt, og vælg Kør som administrator.
-
Kør certutil -dstemplate user msPKI-Enrollment-Flag +0x00080000.
Hvis du deaktiverer tilføjelsen af denne udvidelse, fjernes beskyttelsen fra den nye udvidelse. Overvej kun at gøre dette efter et af følgende:
-
Du bekræfter, at de tilsvarende certifikater ikke er acceptable for Public Key Cryptography for Initial Authentication (PKINIT) i Kerberos Protocol-godkendelser på KDC
-
De tilsvarende certifikater har andre stærke certifikattilknytninger konfigureret
Miljøer, der har ikke-Microsoft-nøglecenterinstallationer, vil ikke være beskyttet ved hjælp af den nye SID-udvidelse, når du har installeret Windows-opdateringen fra 10. maj 2022. Berørte kunder skal arbejde sammen med de tilsvarende nøglecenterleverandører for at løse dette problem eller overveje at bruge andre stærke certifikattilknytninger, der er beskrevet ovenfor.
Du kan finde flere ressourcer og support i afsnittet "Yderligere ressourcer".
Ofte stillede spørgsmål
Nej, fornyelse er ikke påkrævet. Nøglecenteret leveres i kompatibilitetstilstand. Hvis du vil have en stærk tilknytning ved hjælp af ObjectSID-udvidelsen, skal du bruge et nyt certifikat.
I Windows-opdateringen fra 11. februar 2025 flyttes enheder, der ikke allerede er i håndhævelse (registreringsdatabaseværdien StrongCertificateBindingEnforcement , til 2) til Gennemtvingelse. Hvis godkendelse afvises, vises hændelses-id 39 (eller hændelses-id 41 til Windows Server 2008 R2 SP1 og Windows Server 2008 SP2). Du har mulighed for at indstille registreringsdatabasenøgleværdien tilbage til 1 (kompatibilitetstilstand) på nuværende tidspunkt.
I Windows-opdateringen fra 10. september 2025 understøttes registreringsdatabaseværdien StrongCertificateBindingEnforcement ikke længere.
Yderligere ressourcer
Du kan få mere at vide om tilknytning af TLS-klientcertifikater i følgende artikler: