4
Automatische Zertifikatsverteilung - erneuerung
Hallo Zusammen,
ich habe mal wieder eine Frage bzgl. meiner Microsoft PKI.
Lasst mich dazu mein Problem/ Anliegen kurz beschreiben:
Ich habe eine Zertifikatsvorlage (Computerzertifikat) erstellt, welche eine Gültigkeit von fünf Tagen hat.
Die Erneuerungszeit habe ich auf drei Tage gestellt.
Wenn ich nun sehe, dass das Zertifikat des Clients am Sonntag um 6:00 Uhr abläuft, wie schaffe ich es, dass der Client sein Zertifikat bereits spätestens am Freitag um 6:00 Uhr erneuert?
Erfahrungsgemäß ziehen sich die Clients, trotz längerer Erneuerungszeit, erst so ca. 8 Std. vor Ablauf ihres Zertifikats ein neues von meiner CA.
Dies ist solang kein Problem, wie die Clients im Betrieb sind, da funktioniert alles einwandfrei. Nur wenn ein Client über das Wochenende ausgeschaltet ist, erhält er logischerweise kein neues Zertifikat.
Hier noch ein paar Hintergrundinformationen zur PKI und Zertifikatsvorlage:
-Two Tier Hierarchy
-MS Windows Server 2012 R2 (auf beiden CAs)
-RootCA offline und ausgeschaltet (wie üblich)
Zertifikatsvorlage:
-Computerzertifikat (Client- und Serverauthentifizierung)
-Gültigkeitsdauer: 5 Tage
-Erneuerungszeit: 3 Tage
-In Active Directory veröffentlicht
Kompatibilitätseinstellungen:
-Zertifizierungsstelle: Windows Server 2012 R2
-Zertifikatsempfänger: Windows 7 / Server 2008 R2
P.S. Für den Produktivbetrieb sind natürlich eine längere Gültigkeitsdauer und Erneuerungszeit angedacht.
Solltet ihr noch weitere Informationen brauchen, dann schreibt mir einfach.
Danke im Voraus
Beste Grüße!
ich habe mal wieder eine Frage bzgl. meiner Microsoft PKI.
Lasst mich dazu mein Problem/ Anliegen kurz beschreiben:
Ich habe eine Zertifikatsvorlage (Computerzertifikat) erstellt, welche eine Gültigkeit von fünf Tagen hat.
Die Erneuerungszeit habe ich auf drei Tage gestellt.
Wenn ich nun sehe, dass das Zertifikat des Clients am Sonntag um 6:00 Uhr abläuft, wie schaffe ich es, dass der Client sein Zertifikat bereits spätestens am Freitag um 6:00 Uhr erneuert?
Erfahrungsgemäß ziehen sich die Clients, trotz längerer Erneuerungszeit, erst so ca. 8 Std. vor Ablauf ihres Zertifikats ein neues von meiner CA.
Dies ist solang kein Problem, wie die Clients im Betrieb sind, da funktioniert alles einwandfrei. Nur wenn ein Client über das Wochenende ausgeschaltet ist, erhält er logischerweise kein neues Zertifikat.
Hier noch ein paar Hintergrundinformationen zur PKI und Zertifikatsvorlage:
-Two Tier Hierarchy
-MS Windows Server 2012 R2 (auf beiden CAs)
-RootCA offline und ausgeschaltet (wie üblich)
Zertifikatsvorlage:
-Computerzertifikat (Client- und Serverauthentifizierung)
-Gültigkeitsdauer: 5 Tage
-Erneuerungszeit: 3 Tage
-In Active Directory veröffentlicht
Kompatibilitätseinstellungen:
-Zertifizierungsstelle: Windows Server 2012 R2
-Zertifikatsempfänger: Windows 7 / Server 2008 R2
P.S. Für den Produktivbetrieb sind natürlich eine längere Gültigkeitsdauer und Erneuerungszeit angedacht.
Solltet ihr noch weitere Informationen brauchen, dann schreibt mir einfach.
Danke im Voraus
Beste Grüße!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 331322
Url: https://administrator.de/contentid/331322
Printed on: April 25, 2024 at 04:04 o'clock
4 Comments
Latest comment
certutil -pulseZitat von @132272:
Gruß
> certutil -pulse
> Meine Zertifikate sind soweit angepasst und tauchen auch in der Übersicht (in der MMC) auf, wenn man den Weg, welchen du mit dem Pulse Befehl beschreibst, per GUI beschreitet. Dies nur, wenn sie noch nicht registriert sind.
Sobald ein Zertifikat registriert ist, und man den Pulse Befehl benutzt, gehe ich davon aus, dass der Client nach einem neuen Zertifikat fragt, sofern das bestehende Zertifikat bereits im Erneuerungszeitraum liegt?
Gruß
Jepp.
Der Befehl tut genau was er soll.
Ich habe diese Zeile einfach bei uns ins Logon-Script mit eingebaut.
So funktioniert es immer, wenn die Leute morgens ihre Computer hochfahren.
Ich habe diese Zeile einfach bei uns ins Logon-Script mit eingebaut.
So funktioniert es immer, wenn die Leute morgens ihre Computer hochfahren.
