AD CS Domain Escalation
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
This is a summary of escalation technique sections of the posts:
Τα δικαιώματα εγγραφής χορηγούνται σε χρήστες με χαμηλά προνόμια από την Enterprise CA.
Η έγκριση του διευθυντή δεν απαιτείται.
Δεν απαιτούνται υπογραφές από εξουσιοδοτημένο προσωπικό.
Οι περιγραφείς ασφαλείας στα πρότυπα πιστοποιητικών είναι υπερβολικά επιεικείς, επιτρέποντας στους χρήστες με χαμηλά προνόμια να αποκτούν δικαιώματα εγγραφής.
Τα πρότυπα πιστοποιητικών είναι ρυθμισμένα να ορίζουν EKUs που διευκολύνουν την αυθεντικοποίηση:
Οι ταυτοτήτες Extended Key Usage (EKU) όπως Client Authentication (OID 1.3.6.1.5.5.7.3.2), PKINIT Client Authentication (1.3.6.1.5.2.3.4), Smart Card Logon (OID 1.3.6.1.4.1.311.20.2.2), Any Purpose (OID 2.5.29.37.0), ή χωρίς EKU (SubCA) περιλαμβάνονται.
Η δυνατότητα για τους αιτούντες να συμπεριλάβουν ένα subjectAltName στην Αίτηση Υπογραφής Πιστοποιητικού (CSR) επιτρέπεται από το πρότυπο:
Το Active Directory (AD) δίνει προτεραιότητα στο subjectAltName (SAN) σε ένα πιστοποιητικό για την επαλήθευση ταυτότητας αν είναι παρόν. Αυτό σημαίνει ότι με την καθορισμένη SAN σε ένα CSR, μπορεί να ζητηθεί ένα πιστοποιητικό για να προσποιηθεί οποιονδήποτε χρήστη (π.χ., έναν διαχειριστή τομέα). Εάν μπορεί να καθοριστεί μια SAN από τον αιτούντα, αυτό υποδεικνύεται στο αντικείμενο AD του προτύπου πιστοποιητικού μέσω της ιδιότητας mspki-certificate-name-flag
. Αυτή η ιδιότητα είναι ένα bitmask, και η παρουσία της σημαίας CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT
επιτρέπει την καθορισμένη SAN από τον αιτούντα.
Η ρύθμιση που περιγράφεται επιτρέπει στους χρήστες με χαμηλά προνόμια να ζητούν πιστοποιητικά με οποιαδήποτε SAN επιλέξουν, επιτρέποντας την αυθεντικοποίηση ως οποιοσδήποτε τομεακός κύριος μέσω Kerberos ή SChannel.
Αυτή η δυνατότητα είναι μερικές φορές ενεργοποιημένη για να υποστηρίξει τη δημιουργία πιστοποιητικών HTTPS ή host κατά την εκτέλεση από προϊόντα ή υπηρεσίες ανάπτυξης, ή λόγω έλλειψης κατανόησης.
Σημειώνεται ότι η δημιουργία ενός πιστοποιητικού με αυτή την επιλογή ενεργοποιεί μια προειδοποίηση, κάτι που δεν συμβαίνει όταν ένα υπάρχον πρότυπο πιστοποιητικού (όπως το πρότυπο WebServer
, το οποίο έχει ενεργοποιημένη την CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT
) αντιγράφεται και στη συνέχεια τροποποιείται για να περιλαμβάνει ένα OID αυθεντικοποίησης.
Για να βρείτε ευάλωτα πρότυπα πιστοποιητικών μπορείτε να εκτελέσετε:
Για να καταχραστεί αυτή την ευπάθεια για να προσποιηθεί έναν διαχειριστή θα μπορούσε να εκτελέσει:
Τότε μπορείτε να μετατρέψετε το παραγόμενο πιστοποιητικό σε μορφή .pfx
και να το χρησιμοποιήσετε για αυθεντικοποίηση χρησιμοποιώντας Rubeus ή certipy ξανά:
Τα Windows binaries "Certreq.exe" & "Certutil.exe" μπορούν να χρησιμοποιηθούν για να παραχθεί το PFX: https://gist.github.com/b4cktr4ck2/95a9b908e57460d9958e8238f85ef8ee
Η καταμέτρηση των προτύπων πιστοποιητικών εντός του σχήματος διαμόρφωσης του AD Forest, συγκεκριμένα εκείνων που δεν απαιτούν έγκριση ή υπογραφές, που διαθέτουν Client Authentication ή Smart Card Logon EKU, και με την ενεργοποιημένη σημαία CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT
, μπορεί να πραγματοποιηθεί εκτελώντας το ακόλουθο LDAP query:
Το δεύτερο σενάριο κακοποίησης είναι μια παραλλαγή του πρώτου:
Τα δικαιώματα εγγραφής χορηγούνται σε χρήστες με χαμηλά προνόμια από την Enterprise CA.
Η απαίτηση για έγκριση από διευθυντή είναι απενεργοποιημένη.
Η ανάγκη για εξουσιοδοτημένες υπογραφές παραλείπεται.
Ένας υπερβολικά επιτρεπτικός περιγραφέας ασφαλείας στο πρότυπο πιστοποιητικού χορηγεί δικαιώματα εγγραφής πιστοποιητικού σε χρήστες με χαμηλά προνόμια.
Το πρότυπο πιστοποιητικού ορίζεται να περιλαμβάνει το Any Purpose EKU ή κανένα EKU.
Το Any Purpose EKU επιτρέπει σε έναν επιτιθέμενο να αποκτήσει ένα πιστοποιητικό για οποιονδήποτε σκοπό, συμπεριλαμβανομένης της πιστοποίησης πελάτη, της πιστοποίησης διακομιστή, της υπογραφής κώδικα, κ.λπ. Η ίδια τεχνική που χρησιμοποιείται για το ESC3 μπορεί να χρησιμοποιηθεί για την εκμετάλλευση αυτού του σεναρίου.
Πιστοποιητικά με κανένα EKU, που δρουν ως υποκαταστάτες CA, μπορούν να εκμεταλλευτούν για οποιονδήποτε σκοπό και μπορούν επίσης να χρησιμοποιηθούν για την υπογραφή νέων πιστοποιητικών. Έτσι, ένας επιτιθέμενος θα μπορούσε να καθορίσει αυθαίρετα EKUs ή πεδία στα νέα πιστοποιητικά χρησιμοποιώντας ένα πιστοποιητικό υποκαταστάτη CA.
Ωστόσο, νέα πιστοποιητικά που δημιουργούνται για πιστοποίηση τομέα δεν θα λειτουργούν αν ο υποκαταστάτης CA δεν είναι αξιόπιστος από το NTAuthCertificates
αντικείμενο, το οποίο είναι η προεπιλεγμένη ρύθμιση. Παρ' όλα αυτά, ένας επιτιθέμενος μπορεί να δημιουργήσει νέα πιστοποιητικά με οποιοδήποτε EKU και αυθαίρετες τιμές πιστοποιητικού. Αυτά θα μπορούσαν να κακοποιηθούν για μια ευρεία γκάμα σκοπών (π.χ., υπογραφή κώδικα, πιστοποίηση διακομιστή, κ.λπ.) και θα μπορούσαν να έχουν σημαντικές επιπτώσεις για άλλες εφαρμογές στο δίκτυο όπως SAML, AD FS ή IPSec.
Για να απαριθμήσετε τα πρότυπα που ταιριάζουν σε αυτό το σενάριο εντός του σχήματος διαμόρφωσης του AD Forest, μπορεί να εκτελεστεί το εξής LDAP query:
Αυτό το σενάριο είναι παρόμοιο με το πρώτο και το δεύτερο αλλά καταχράται μια διαφορετική EKU (Πράκτορας Αίτησης Πιστοποιητικού) και 2 διαφορετικά πρότυπα (επομένως έχει 2 σύνολα απαιτήσεων),
Η EKU Πράκτορα Αίτησης Πιστοποιητικού (OID 1.3.6.1.4.1.311.20.2.1), γνωστή ως Πράκτορας Εγγραφής στην τεκμηρίωση της Microsoft, επιτρέπει σε έναν κύριο να εγγραφεί για ένα πιστοποιητικό εκ μέρους άλλου χρήστη.
Ο “πράκτορας εγγραφής” εγγράφεται σε ένα τέτοιο πρότυπο και χρησιμοποιεί το προκύπτον πιστοποιητικό για να συνυπογράψει ένα CSR εκ μέρους του άλλου χρήστη. Στη συνέχεια στέλνει το συνυπογεγραμμένο CSR στην CA, εγγραφόμενος σε ένα πρότυπο που επιτρέπει “εγγραφή εκ μέρους”, και η CA απαντά με ένα πιστοποιητικό που ανήκει στον “άλλο” χρήστη.
Requirements 1:
Τα δικαιώματα εγγραφής χορηγούνται σε χρήστες με χαμηλά προνόμια από την Enterprise CA.
Η απαίτηση για έγκριση διευθυντή παραλείπεται.
Καμία απαίτηση για εξουσιοδοτημένες υπογραφές.
Ο περιγραφέας ασφαλείας του προτύπου πιστοποιητικού είναι υπερβολικά επιτρεπτικός, χορηγώντας δικαιώματα εγγραφής σε χρήστες με χαμηλά προνόμια.
Το πρότυπο πιστοποιητικού περιλαμβάνει την EKU Πράκτορα Αίτησης Πιστοποιητικού, επιτρέποντας την αίτηση άλλων προτύπων πιστοποιητικών εκ μέρους άλλων προσώπων.
Requirements 2:
Η Enterprise CA χορηγεί δικαιώματα εγγραφής σε χρήστες με χαμηλά προνόμια.
Η έγκριση του διευθυντή παρακάμπτεται.
Η έκδοση του σχήματος του προτύπου είναι είτε 1 είτε υπερβαίνει το 2, και καθορίζει μια Απαίτηση Έκδοσης Πολιτικής Εφαρμογής που απαιτεί την EKU Πράκτορα Αίτησης Πιστοποιητικού.
Μια EKU που ορίζεται στο πρότυπο πιστοποιητικού επιτρέπει την αυθεντικοποίηση τομέα.
Περιορισμοί για τους πράκτορες εγγραφής δεν εφαρμόζονται στην CA.
Μπορείτε να χρησιμοποιήσετε Certify ή Certipy για να καταχραστείτε αυτό το σενάριο:
The χρήστες που επιτρέπεται να αποκτούν ένα πιστοποιητικό πράκτορα εγγραφής, τα πρότυπα στα οποία οι πράκτορες εγγραφής επιτρέπεται να εγγραφούν, και οι λογαριασμοί εκ μέρους των οποίων μπορεί να ενεργήσει ο πράκτορας εγγραφής μπορούν να περιοριστούν από τις επιχειρησιακές CA. Αυτό επιτυγχάνεται ανοίγοντας το certsrc.msc
snap-in, κλικάροντας με το δεξί κουμπί πάνω στην CA, επιλέγοντας Ιδιότητες, και στη συνέχεια μεταβαίνοντας στην καρτέλα “Πράκτορες Εγγραφής”.
Ωστόσο, σημειώνεται ότι η προεπιλεγμένη ρύθμιση για τις CA είναι να “Μη περιορίζετε τους πράκτορες εγγραφής.” Όταν η περιοριστική ρύθμιση για τους πράκτορες εγγραφής ενεργοποιείται από τους διαχειριστές, ρυθμίζοντας την σε “Περιορίστε τους πράκτορες εγγραφής,” η προεπιλεγμένη διαμόρφωση παραμένει εξαιρετικά επιτρεπτική. Επιτρέπει την πρόσβαση σε Όλους για να εγγραφούν σε όλα τα πρότυπα ως οποιοσδήποτε.
Ο ασφαλιστικός περιγραφέας στα πρότυπα πιστοποιητικών καθορίζει τις άδειες που κατέχουν συγκεκριμένοι AD principals σχετικά με το πρότυπο.
Εάν ένας επιτιθέμενος κατέχει τις απαραίτητες άδειες για να αλλάξει ένα πρότυπο και να θεσπίσει οποιεσδήποτε εκμεταλλεύσιμες κακοδιαμορφώσεις που περιγράφονται σε προηγούμενες ενότητες, η κλιμάκωση προνομίων θα μπορούσε να διευκολυνθεί.
Σημαντικές άδειες που ισχύουν για τα πρότυπα πιστοποιητικών περιλαμβάνουν:
Ιδιοκτήτης: Παρέχει έμμεσο έλεγχο πάνω στο αντικείμενο, επιτρέποντας την τροποποίηση οποιωνδήποτε χαρακτηριστικών.
Πλήρης Έλεγχος: Δίνει πλήρη εξουσία πάνω στο αντικείμενο, συμπεριλαμβανομένης της ικανότητας να αλλάξει οποιαδήποτε χαρακτηριστικά.
WriteOwner: Επιτρέπει την αλλαγή του ιδιοκτήτη του αντικειμένου σε έναν κύριο υπό τον έλεγχο του επιτιθέμενου.
WriteDacl: Επιτρέπει την προσαρμογή των ελέγχων πρόσβασης, ενδεχομένως παρέχοντας στον επιτιθέμενο Πλήρη Έλεγχο.
WriteProperty: Εξουσιοδοτεί την επεξεργασία οποιωνδήποτε ιδιοτήτων αντικειμένου.
Ένα παράδειγμα κλιμάκωσης προνομίων όπως το προηγούμενο:
ESC4 είναι όταν ένας χρήστης έχει δικαιώματα εγγραφής πάνω σε ένα πρότυπο πιστοποιητικού. Αυτό μπορεί για παράδειγμα να καταχραστεί για να αντικαταστήσει τη διαμόρφωση του προτύπου πιστοποιητικού ώστε να καταστεί το πρότυπο ευάλωτο σε ESC1.
Όπως μπορούμε να δούμε στο παραπάνω μονοπάτι, μόνο ο JOHNPC
έχει αυτά τα δικαιώματα, αλλά ο χρήστης μας JOHN
έχει την νέα άκρη AddKeyCredentialLink
προς τον JOHNPC
. Δεδομένου ότι αυτή η τεχνική σχετίζεται με πιστοποιητικά, έχω εφαρμόσει αυτή την επίθεση επίσης, η οποία είναι γνωστή ως Shadow Credentials. Ορίστε μια μικρή ματιά στην εντολή shadow auto
του Certipy για να ανακτήσετε το NT hash του θύματος.
Certipy μπορεί να αντικαταστήσει τη ρύθμιση ενός προτύπου πιστοποιητικού με μια μόνο εντολή. Από προεπιλογή, το Certipy θα αντικαταστήσει τη ρύθμιση για να την καταστήσει ευάλωτη σε ESC1. Μπορούμε επίσης να καθορίσουμε την παράμετρο -save-old
για να αποθηκεύσουμε την παλιά ρύθμιση, η οποία θα είναι χρήσιμη για την αποκατάσταση της ρύθμισης μετά την επίθεσή μας.
Το εκτενές δίκτυο αλληλοσυνδεδεμένων σχέσεων βασισμένων σε ACL, το οποίο περιλαμβάνει αρκετά αντικείμενα πέρα από τα πρότυπα πιστοποιητικών και την αρχή πιστοποίησης, μπορεί να επηρεάσει την ασφάλεια ολόκληρου του συστήματος AD CS. Αυτά τα αντικείμενα, που μπορούν να επηρεάσουν σημαντικά την ασφάλεια, περιλαμβάνουν:
Το αντικείμενο υπολογιστή AD του διακομιστή CA, το οποίο μπορεί να παραβιαστεί μέσω μηχανισμών όπως το S4U2Self ή S4U2Proxy.
Ο διακομιστής RPC/DCOM του διακομιστή CA.
Οποιοδήποτε κατώτερο αντικείμενο ή κοντέινερ AD εντός της συγκεκριμένης διαδρομής κοντέινερ CN=Public Key Services,CN=Services,CN=Configuration,DC=<DOMAIN>,DC=<COM>
. Αυτή η διαδρομή περιλαμβάνει, αλλά δεν περιορίζεται σε, κοντέινερ και αντικείμενα όπως το κοντέινερ Πρότυπα Πιστοποιητικών, το κοντέινερ Αρχών Πιστοποίησης, το αντικείμενο NTAuthCertificates και το Κοντέινερ Υπηρεσιών Εγγραφής.
Η ασφάλεια του συστήματος PKI μπορεί να παραβιαστεί αν ένας επιτιθέμενος με χαμηλά προνόμια καταφέρει να αποκτήσει έλεγχο σε οποιοδήποτε από αυτά τα κρίσιμα στοιχεία.
Το θέμα που συζητείται στην ανάρτηση CQure Academy αγγίζει επίσης τις επιπτώσεις της σημαίας EDITF_ATTRIBUTESUBJECTALTNAME2
, όπως περιγράφεται από τη Microsoft. Αυτή η ρύθμιση, όταν ενεργοποιηθεί σε μια Αρχή Πιστοποίησης (CA), επιτρέπει την προσθήκη καθορισμένων από τον χρήστη τιμών στο εναλλακτικό όνομα υποκειμένου για οποιοδήποτε αίτημα, συμπεριλαμβανομένων εκείνων που κατασκευάζονται από το Active Directory®. Ως εκ τούτου, αυτή η διάταξη επιτρέπει σε έναν εισβολέα να εγγραφεί μέσω οποιουδήποτε προτύπου έχει ρυθμιστεί για αυθεντικοποίηση τομέα—συγκεκριμένα εκείνων που είναι ανοιχτά για εγγραφή μη προνομιούχων χρηστών, όπως το πρότυπο Χρήστη. Ως αποτέλεσμα, μπορεί να εξασφαλιστεί ένα πιστοποιητικό, επιτρέποντας στον εισβολέα να αυθεντικοποιηθεί ως διαχειριστής τομέα ή οποιαδήποτε άλλη ενεργή οντότητα εντός του τομέα.
Σημείωση: Η προσέγγιση για την προσθήκη εναλλακτικών ονομάτων σε ένα Αίτημα Υπογραφής Πιστοποιητικού (CSR), μέσω του επιχειρήματος -attrib "SAN:"
στο certreq.exe
(αναφερόμενο ως “Ζεύγη Τιμών Ονομάτων”), παρουσιάζει μια αντίθεση με τη στρατηγική εκμετάλλευσης των SANs στο ESC1. Εδώ, η διάκριση έγκειται στο πώς οι πληροφορίες λογαριασμού είναι ενσωματωμένες—εντός ενός χαρακτηριστικού πιστοποιητικού, αντί για μια επέκταση.
Για να επαληθεύσουν αν η ρύθμιση είναι ενεργοποιημένη, οι οργανισμοί μπορούν να χρησιμοποιήσουν την παρακάτω εντολή με το certutil.exe
:
Αυτή η λειτουργία χρησιμοποιεί ουσιαστικά πρόσβαση σε απομακρυσμένο μητρώο, επομένως, μια εναλλακτική προσέγγιση θα μπορούσε να είναι:
Τα εργαλεία όπως το Certify και το Certipy είναι ικανά να ανιχνεύσουν αυτή τη λανθασμένη ρύθμιση και να την εκμεταλλευτούν:
Για να αλλάξετε αυτές τις ρυθμίσεις, υποθέτοντας ότι διαθέτετε δικαιώματα διαχειριστή τομέα ή ισοδύναμα, μπορεί να εκτελεστεί η παρακάτω εντολή από οποιονδήποτε σταθμό εργασίας:
Για να απενεργοποιήσετε αυτή τη ρύθμιση στο περιβάλλον σας, η σημαία μπορεί να αφαιρεθεί με:
Μετά τις ενημερώσεις ασφαλείας του Μαΐου 2022, οι νεοεκδοθείσες πιστοποιήσεις θα περιέχουν μια επέκταση ασφαλείας που ενσωματώνει την ιδιότητα objectSid
του αιτούντος. Για το ESC1, αυτό το SID προέρχεται από το καθορισμένο SAN. Ωστόσο, για το ESC6, το SID αντικατοπτρίζει το objectSid
του αιτούντος, όχι το SAN.
Για να εκμεταλλευτεί κανείς το ESC6, είναι απαραίτητο το σύστημα να είναι ευάλωτο στο ESC10 (Αδύνατοι Χάρτες Πιστοποιητικών), το οποίο δίνει προτεραιότητα στο SAN έναντι της νέας επέκτασης ασφαλείας.
Ο έλεγχος πρόσβασης για μια αρχή πιστοποίησης διατηρείται μέσω ενός συνόλου δικαιωμάτων που διέπουν τις ενέργειες της CA. Αυτά τα δικαιώματα μπορούν να προβληθούν με την πρόσβαση στο certsrv.msc
, κάνοντας δεξί κλικ σε μια CA, επιλέγοντας ιδιότητες και στη συνέχεια πηγαίνοντας στην καρτέλα Ασφάλεια. Επιπλέον, τα δικαιώματα μπορούν να απαριθμηθούν χρησιμοποιώντας το PSPKI module με εντολές όπως:
Αυτό παρέχει πληροφορίες σχετικά με τα κύρια δικαιώματα, δηλαδή ManageCA
και ManageCertificates
, που σχετίζονται με τους ρόλους του “CA administrator” και “Certificate Manager” αντίστοιχα.
Η κατοχή δικαιωμάτων ManageCA
σε μια αρχή πιστοποίησης επιτρέπει στον κύριο να χειρίζεται ρυθμίσεις απομακρυσμένα χρησιμοποιώντας το PSPKI. Αυτό περιλαμβάνει την εναλλαγή της σημαίας EDITF_ATTRIBUTESUBJECTALTNAME2
για να επιτραπεί η προδιαγραφή SAN σε οποιοδήποτε πρότυπο, μια κρίσιμη πτυχή της κλιμάκωσης τομέα.
Η απλοποίηση αυτής της διαδικασίας είναι εφικτή μέσω της χρήσης του cmdlet Enable-PolicyModuleFlag του PSPKI, επιτρέποντας τροποποιήσεις χωρίς άμεση αλληλεπίδραση με το GUI.
Η κατοχή δικαιωμάτων ManageCertificates
διευκολύνει την έγκριση εκκρεμών αιτημάτων, παρακάμπτοντας αποτελεσματικά την προστασία "έγκριση διαχειριστή πιστοποιητικού CA".
Μια συνδυασμένη χρήση των μονάδων Certify και PSPKI μπορεί να χρησιμοποιηθεί για να ζητήσει, να εγκρίνει και να κατεβάσει ένα πιστοποιητικό:
Στην προηγούμενη επίθεση Manage CA
οι άδειες χρησιμοποιήθηκαν για να ενεργοποιήσουν τη σημαία EDITF_ATTRIBUTESUBJECTALTNAME2 για να εκτελέσουν την επίθεση ESC6, αλλά αυτό δεν θα έχει καμία επίδραση μέχρι να επανεκκινήσει η υπηρεσία CA (CertSvc
). Όταν ένας χρήστης έχει το δικαίωμα πρόσβασης Manage CA
, επιτρέπεται επίσης να επανεκκινήσει την υπηρεσία. Ωστόσο, αυτό δεν σημαίνει ότι ο χρήστης μπορεί να επανεκκινήσει την υπηρεσία απομακρυσμένα. Επιπλέον, η ESC6 μπορεί να μην λειτουργεί κατευθείαν σε πολλές περιβαλλοντικές εγκαταστάσεις που έχουν διορθωθεί λόγω των ενημερώσεων ασφαλείας του Μαΐου 2022.
Επομένως, μια άλλη επίθεση παρουσιάζεται εδώ.
Perquisites:
Μόνο ManageCA
άδεια
Manage Certificates
άδεια (μπορεί να παραχωρηθεί από ManageCA
)
Το πρότυπο πιστοποιητικού SubCA
πρέπει να είναι ενεργοποιημένο (μπορεί να ενεργοποιηθεί από ManageCA
)
Η τεχνική βασίζεται στο γεγονός ότι οι χρήστες με το δικαίωμα πρόσβασης Manage CA
και Manage Certificates
μπορούν να εκδίδουν αποτυχημένα αιτήματα πιστοποιητικών. Το πρότυπο πιστοποιητικού SubCA
είναι ευάλωτο στην ESC1, αλλά μόνο οι διαχειριστές μπορούν να εγγραφούν στο πρότυπο. Έτσι, ένας χρήστης μπορεί να ζητήσει να εγγραφεί στο SubCA
- το οποίο θα αρνηθεί - αλλά στη συνέχεια θα εκδοθεί από τον διαχειριστή αργότερα.
Μπορείτε να παραχωρήσετε στον εαυτό σας το δικαίωμα πρόσβασης Manage Certificates
προσθέτοντας τον χρήστη σας ως νέο αξιωματούχο.