AD Zertifizierungsstelle - Auto Deploy Sub-CA festlegen möglich?
Hallo zusammen,
Hintergrund ist folgender:
Wir haben eine AD integrierte CA (Root CA), welche offline ist und monatlich zur Veröffentlichung der Sperrlisten sowie für Update angeworfen wird.
Am selben Standort gibt es eine Sub CA (FIRMA.LOCAL Sub CA 1). An einem anderen Standort haben wir eine weitere Sub CA (FIRMA.LOCAL Sub CA 2). Beide Sub CAs haben die selben Zertifikatsvorlagen, darunter eine angepasste Computer Standard Vorlage. Den Computern (Domänencomputer) wird im Reiter Sicherheit Registrieren und Automatisch registriern erlaubt.
In der Gruppenrichtlinie für Auto-Deploy ist Automatische Zertifikatverwaltung, "Neue Zertifikate registrieren", "abgelaufene Zertifikate erneuern, ausstehende Anforderungen für Zertifikate verarbeiten und gesperrte Zertifikate entfernen" und "Zertifikate, die Zertifikatvorlagen von Active Directory verwenden, aktualisieren und verwalten" aktiviert. Die Computer holen sich auch alle brav ihr Zertifikat und verwenden dieses für 802.1x, alles fein.
Allerdings werden seit Inbetriebnahme der 2. Sub CA die Zertifikate teilweise "über Kreuz" ausgestellt, sprich die Sub CA an Standort 1 stellt Zertifikate am Standort 2 aus und umgekehrt.
Daher die Frage: Ist es möglich, bei einem Autodeploy für Computerzertifikate die ausstellende CA auszuwählen oder zumindest eine Priorität festzulegen? Als Workaround könnte ich natürlich Sicherheitsgruppen anlegen und die Geräte des jeweiligen Standortes zuweisen und statt "Domänencomputer" auf der jeweiligen Sub CA nur die erlaubten Geräte freigeben, das müsste gehen. Wäre nur in meinen Augen unschön, deswegen: geht's auch ander?
Danke schonmal für eure Unterstützung!
Gruß
Ketanest
Hintergrund ist folgender:
Wir haben eine AD integrierte CA (Root CA), welche offline ist und monatlich zur Veröffentlichung der Sperrlisten sowie für Update angeworfen wird.
Am selben Standort gibt es eine Sub CA (FIRMA.LOCAL Sub CA 1). An einem anderen Standort haben wir eine weitere Sub CA (FIRMA.LOCAL Sub CA 2). Beide Sub CAs haben die selben Zertifikatsvorlagen, darunter eine angepasste Computer Standard Vorlage. Den Computern (Domänencomputer) wird im Reiter Sicherheit Registrieren und Automatisch registriern erlaubt.
In der Gruppenrichtlinie für Auto-Deploy ist Automatische Zertifikatverwaltung, "Neue Zertifikate registrieren", "abgelaufene Zertifikate erneuern, ausstehende Anforderungen für Zertifikate verarbeiten und gesperrte Zertifikate entfernen" und "Zertifikate, die Zertifikatvorlagen von Active Directory verwenden, aktualisieren und verwalten" aktiviert. Die Computer holen sich auch alle brav ihr Zertifikat und verwenden dieses für 802.1x, alles fein.
Allerdings werden seit Inbetriebnahme der 2. Sub CA die Zertifikate teilweise "über Kreuz" ausgestellt, sprich die Sub CA an Standort 1 stellt Zertifikate am Standort 2 aus und umgekehrt.
Daher die Frage: Ist es möglich, bei einem Autodeploy für Computerzertifikate die ausstellende CA auszuwählen oder zumindest eine Priorität festzulegen? Als Workaround könnte ich natürlich Sicherheitsgruppen anlegen und die Geräte des jeweiligen Standortes zuweisen und statt "Domänencomputer" auf der jeweiligen Sub CA nur die erlaubten Geräte freigeben, das müsste gehen. Wäre nur in meinen Augen unschön, deswegen: geht's auch ander?
Danke schonmal für eure Unterstützung!
Gruß
Ketanest
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1736029872
Url: https://administrator.de/forum/ad-zertifizierungsstelle-auto-deploy-sub-ca-festlegen-moeglich-1736029872.html
Ausgedruckt am: 22.12.2024 um 06:12 Uhr
5 Kommentare
Neuester Kommentar
Aber schau mal hier:
AD DS Site Awareness for AD CS and PKI Clients
Ich habe das nicht komplett gelesen, aber es scheint das zu sein, was Du suchst.
AD DS Site Awareness for AD CS and PKI Clients
Ich habe das nicht komplett gelesen, aber es scheint das zu sein, was Du suchst.