sithans
Goto Top

AD - Verteilung Zertifikate - AD CS

Hallo zusammen,

ich habe eine kurze Verständnisfrage, weil ich bin gerade bisschen verwirrt bzw. Frage mich, wo ich diese Info herbekomme.

Folgende Situation: wir haben zwei CA Server ein Server ist eine Root CA und ist offline und die andere CA ist aktiv. Anscheinend ist die CA mit dem AD verbunden und alle Clients im Netzwerk vertrauen dieser CA. Wo kann ich die Einstellungen und Konfigurationen dafür sehen?

Ich habe nämlich gesehen, dass komplett frische Geräte bei uns automatisch nach Domain join einige Zertifikate in den Windows Zertifikatsspeicher bekommen. Sowohl in der Stamm- als auch in der Zwischenzertifizierungsstelle, bloß das Problem ist hier werden auch Zertifikate unserer alten PKI Struktur mitgegeben.

Wo kann ich diese alten Zertifikate denn rausnehmen? Weil es ist keine GPO konfiguriert, es muss wirklich auf AD Ebene nach dem Domain join etwas mitgegeben werden.

Vielen Dank schonmal und viele Grüße

Content-Key: 73779050986

Url: https://administrator.de/contentid/73779050986

Printed on: February 25, 2024 at 13:02 o'clock

Member: DerWoWusste
DerWoWusste Nov 22, 2023 at 15:05:02 (UTC)
Goto Top
Doch, es ist auf jeden Fall eine GPO. Der Join macht nichts dergleichen.

Starte auf dem Client nach Join ein elevated command prompt und dort
gpresult /h %temp%\res.html & %temp%\res.html

https://blog.naglis.no/wp-content/uploads/2020/05/PKI88-1024x512.png
Member: SithAns
SithAns Nov 22, 2023 at 15:25:35 (UTC)
Goto Top
Zitat von @DerWoWusste:

Doch, es ist auf jeden Fall eine GPO. Der Join macht nichts dergleichen.

Starte auf dem Client nach Join ein elevated command prompt und dort
gpresult /h %temp%\res.html & %temp%\res.html

https://blog.naglis.no/wp-content/uploads/2020/05/PKI88-1024x512.png

Mhm also wenn ich mir diesen Bericht generiere bzw. auch mit rsop.msc sehe ich keine Zertifikate unter den Public Key Policies
Member: DerWoWusste
DerWoWusste Nov 22, 2023 at 17:27:31 (UTC)
Goto Top
Nicht im Userbereich, und im Computerbereich auch nicht? Dann muss es ein Skript sein (Startskript oder geplanter Task oder Anmeldeskript). GPOresult danach durchsuchen
Member: Dani
Dani Nov 25, 2023 at 10:04:15 (UTC)
Goto Top
Moin,
Sowohl in der Stamm- als auch in der Zwischenzertifizierungsstelle, bloß das Problem ist hier werden auch Zertifikate unserer alten PKI Struktur mitgegeben.
ich vermute mal die beiden Zertifikate sind über certutil -publish veröffentlicht. Daher schaue mal mit Hilfe von ADSedit einmal nach, ob dem wirklich so ist.

Ich habe nämlich gesehen, dass komplett frische Geräte bei uns automatisch nach Domain join einige Zertifikate in den Windows Zertifikatsspeicher bekommen.
In der Regel steht in der MMC in einer Spalte der benutzte Vorlagenamen. Evtl. kannst du darüber mehr herausfinden. Unter Berücksichtigung des letzten Kommentars von @DerWoWusste.


Gruß,
Dani