5
AD Zertifizierungsstelle - Auto Deploy Sub-CA festlegen möglich?
Hallo zusammen,
Hintergrund ist folgender:
Wir haben eine AD integrierte CA (Root CA), welche offline ist und monatlich zur Veröffentlichung der Sperrlisten sowie für Update angeworfen wird.
Am selben Standort gibt es eine Sub CA (FIRMA.LOCAL Sub CA 1). An einem anderen Standort haben wir eine weitere Sub CA (FIRMA.LOCAL Sub CA 2). Beide Sub CAs haben die selben Zertifikatsvorlagen, darunter eine angepasste Computer Standard Vorlage. Den Computern (Domänencomputer) wird im Reiter Sicherheit Registrieren und Automatisch registriern erlaubt.
In der Gruppenrichtlinie für Auto-Deploy ist Automatische Zertifikatverwaltung, "Neue Zertifikate registrieren", "abgelaufene Zertifikate erneuern, ausstehende Anforderungen für Zertifikate verarbeiten und gesperrte Zertifikate entfernen" und "Zertifikate, die Zertifikatvorlagen von Active Directory verwenden, aktualisieren und verwalten" aktiviert. Die Computer holen sich auch alle brav ihr Zertifikat und verwenden dieses für 802.1x, alles fein.
Allerdings werden seit Inbetriebnahme der 2. Sub CA die Zertifikate teilweise "über Kreuz" ausgestellt, sprich die Sub CA an Standort 1 stellt Zertifikate am Standort 2 aus und umgekehrt.
Daher die Frage: Ist es möglich, bei einem Autodeploy für Computerzertifikate die ausstellende CA auszuwählen oder zumindest eine Priorität festzulegen? Als Workaround könnte ich natürlich Sicherheitsgruppen anlegen und die Geräte des jeweiligen Standortes zuweisen und statt "Domänencomputer" auf der jeweiligen Sub CA nur die erlaubten Geräte freigeben, das müsste gehen. Wäre nur in meinen Augen unschön, deswegen: geht's auch ander?
Danke schonmal für eure Unterstützung!
Gruß
Ketanest
Hintergrund ist folgender:
Wir haben eine AD integrierte CA (Root CA), welche offline ist und monatlich zur Veröffentlichung der Sperrlisten sowie für Update angeworfen wird.
Am selben Standort gibt es eine Sub CA (FIRMA.LOCAL Sub CA 1). An einem anderen Standort haben wir eine weitere Sub CA (FIRMA.LOCAL Sub CA 2). Beide Sub CAs haben die selben Zertifikatsvorlagen, darunter eine angepasste Computer Standard Vorlage. Den Computern (Domänencomputer) wird im Reiter Sicherheit Registrieren und Automatisch registriern erlaubt.
In der Gruppenrichtlinie für Auto-Deploy ist Automatische Zertifikatverwaltung, "Neue Zertifikate registrieren", "abgelaufene Zertifikate erneuern, ausstehende Anforderungen für Zertifikate verarbeiten und gesperrte Zertifikate entfernen" und "Zertifikate, die Zertifikatvorlagen von Active Directory verwenden, aktualisieren und verwalten" aktiviert. Die Computer holen sich auch alle brav ihr Zertifikat und verwenden dieses für 802.1x, alles fein.
Allerdings werden seit Inbetriebnahme der 2. Sub CA die Zertifikate teilweise "über Kreuz" ausgestellt, sprich die Sub CA an Standort 1 stellt Zertifikate am Standort 2 aus und umgekehrt.
Daher die Frage: Ist es möglich, bei einem Autodeploy für Computerzertifikate die ausstellende CA auszuwählen oder zumindest eine Priorität festzulegen? Als Workaround könnte ich natürlich Sicherheitsgruppen anlegen und die Geräte des jeweiligen Standortes zuweisen und statt "Domänencomputer" auf der jeweiligen Sub CA nur die erlaubten Geräte freigeben, das müsste gehen. Wäre nur in meinen Augen unschön, deswegen: geht's auch ander?
Danke schonmal für eure Unterstützung!
Gruß
Ketanest
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1736029872
Url: https://administrator.de/contentid/1736029872
Ausgedruckt am: 19.11.2024 um 05:11 Uhr
5 Kommentare
Neuester Kommentar
Moin,
du könntest die entsprechende GPO an die Site binden, dann bekomt Site 1 die Certs von Sub 1 und Site 2 die Certs von Sub 2. Dann hast du im Falle eines Ausfalls aber keine Redundanz und es ist ja auch unerheblich von welcher Sub CA das Zertifikat kommt.
/Thomas
du könntest die entsprechende GPO an die Site binden, dann bekomt Site 1 die Certs von Sub 1 und Site 2 die Certs von Sub 2. Dann hast du im Falle eines Ausfalls aber keine Redundanz und es ist ja auch unerheblich von welcher Sub CA das Zertifikat kommt.
/Thomas
Hi,
so, wie ich das verstanden habe, ist das Konzept der Sub-CAs nicht der Lastverteilung (z.B. über Standorte) geschuldet. Hier geht es allein um Delegierung der Ausstellung und Verwaltung von Zertifikaten.
E.
so, wie ich das verstanden habe, ist das Konzept der Sub-CAs nicht der Lastverteilung (z.B. über Standorte) geschuldet. Hier geht es allein um Delegierung der Ausstellung und Verwaltung von Zertifikaten.
E.
Zitat von @emeriks:
Hi,
so, wie ich das verstanden habe, ist das Konzept der Sub-CAs nicht der Lastverteilung (z.B. über Standorte) geschuldet. Hier geht es allein um Delegierung der Ausstellung und Verwaltung von Zertifikaten.
E.
Hi,
so, wie ich das verstanden habe, ist das Konzept der Sub-CAs nicht der Lastverteilung (z.B. über Standorte) geschuldet. Hier geht es allein um Delegierung der Ausstellung und Verwaltung von Zertifikaten.
E.
Da hast du wohl Recht, jetzt wo du es sagst: Selbst bei über Kreuz ausgestellten Zertifikaten und danach abgerissener VPN Verbindung funktioniert ja noch alles, da das Ganze ja übers AD repliziert wird. Schönes fänd ich es trotzdem, "Standort" basierte Zertifikate zu haben.
Zitat von @Th0mKa:
Moin,
du könntest die entsprechende GPO an die Site binden, dann bekomt Site 1 die Certs von Sub 1 und Site 2 die Certs von Sub 2. Dann hast du im Falle eines Ausfalls aber keine Redundanz und es ist ja auch unerheblich von welcher Sub CA das Zertifikat kommt.
/Thomas
Moin,
du könntest die entsprechende GPO an die Site binden, dann bekomt Site 1 die Certs von Sub 1 und Site 2 die Certs von Sub 2. Dann hast du im Falle eines Ausfalls aber keine Redundanz und es ist ja auch unerheblich von welcher Sub CA das Zertifikat kommt.
/Thomas
Hmm, wie darf ich das verstehen? In der GPO kann ich ja nicht auswählen, welche CA das Zertifikat ausstellen soll, das ist ja das Problem.
Ketanest
Aber schau mal hier:
AD DS Site Awareness for AD CS and PKI Clients
Ich habe das nicht komplett gelesen, aber es scheint das zu sein, was Du suchst.
AD DS Site Awareness for AD CS and PKI Clients
Ich habe das nicht komplett gelesen, aber es scheint das zu sein, was Du suchst.
Zitat von @emeriks:
Aber schau mal hier:
AD DS Site Awareness for AD CS and PKI Clients
Ich habe das nicht komplett gelesen, aber es scheint das zu sein, was Du suchst.
Aber schau mal hier:
AD DS Site Awareness for AD CS and PKI Clients
Ich habe das nicht komplett gelesen, aber es scheint das zu sein, was Du suchst.
Ahhh, sehr geil, genau das ist es, danke dir!
Gruß
Ketanest
