AD Zertifizierungsstelle - Auto Deploy Sub-CA festlegen möglich?

ketanest112
Goto Top
Hallo zusammen,

Hintergrund ist folgender:
Wir haben eine AD integrierte CA (Root CA), welche offline ist und monatlich zur Veröffentlichung der Sperrlisten sowie für Update angeworfen wird.
Am selben Standort gibt es eine Sub CA (FIRMA.LOCAL Sub CA 1). An einem anderen Standort haben wir eine weitere Sub CA (FIRMA.LOCAL Sub CA 2). Beide Sub CAs haben die selben Zertifikatsvorlagen, darunter eine angepasste Computer Standard Vorlage. Den Computern (Domänencomputer) wird im Reiter Sicherheit Registrieren und Automatisch registriern erlaubt.
In der Gruppenrichtlinie für Auto-Deploy ist Automatische Zertifikatverwaltung, "Neue Zertifikate registrieren", "abgelaufene Zertifikate erneuern, ausstehende Anforderungen für Zertifikate verarbeiten und gesperrte Zertifikate entfernen" und "Zertifikate, die Zertifikatvorlagen von Active Directory verwenden, aktualisieren und verwalten" aktiviert. Die Computer holen sich auch alle brav ihr Zertifikat und verwenden dieses für 802.1x, alles fein.
Allerdings werden seit Inbetriebnahme der 2. Sub CA die Zertifikate teilweise "über Kreuz" ausgestellt, sprich die Sub CA an Standort 1 stellt Zertifikate am Standort 2 aus und umgekehrt.
Daher die Frage: Ist es möglich, bei einem Autodeploy für Computerzertifikate die ausstellende CA auszuwählen oder zumindest eine Priorität festzulegen? Als Workaround könnte ich natürlich Sicherheitsgruppen anlegen und die Geräte des jeweiligen Standortes zuweisen und statt "Domänencomputer" auf der jeweiligen Sub CA nur die erlaubten Geräte freigeben, das müsste gehen. Wäre nur in meinen Augen unschön, deswegen: geht's auch ander?

Danke schonmal für eure Unterstützung!

Gruß
Ketanest

Content-Key: 1736029872

Url: https://administrator.de/contentid/1736029872

Ausgedruckt am: 22.05.2022 um 00:05 Uhr

Mitglied: Th0mKa
Th0mKa 18.01.2022 um 13:56:43 Uhr
Goto Top
Moin,

du könntest die entsprechende GPO an die Site binden, dann bekomt Site 1 die Certs von Sub 1 und Site 2 die Certs von Sub 2. Dann hast du im Falle eines Ausfalls aber keine Redundanz und es ist ja auch unerheblich von welcher Sub CA das Zertifikat kommt.

/Thomas
Mitglied: emeriks
emeriks 18.01.2022 um 14:15:59 Uhr
Goto Top
Hi,
so, wie ich das verstanden habe, ist das Konzept der Sub-CAs nicht der Lastverteilung (z.B. über Standorte) geschuldet. Hier geht es allein um Delegierung der Ausstellung und Verwaltung von Zertifikaten.

E.
Mitglied: ketanest112
ketanest112 18.01.2022 um 15:11:08 Uhr
Goto Top
Zitat von @emeriks:

Hi,
so, wie ich das verstanden habe, ist das Konzept der Sub-CAs nicht der Lastverteilung (z.B. über Standorte) geschuldet. Hier geht es allein um Delegierung der Ausstellung und Verwaltung von Zertifikaten.

E.

Da hast du wohl Recht, jetzt wo du es sagst: Selbst bei über Kreuz ausgestellten Zertifikaten und danach abgerissener VPN Verbindung funktioniert ja noch alles, da das Ganze ja übers AD repliziert wird. Schönes fänd ich es trotzdem, "Standort" basierte Zertifikate zu haben.


Zitat von @Th0mKa:

Moin,

du könntest die entsprechende GPO an die Site binden, dann bekomt Site 1 die Certs von Sub 1 und Site 2 die Certs von Sub 2. Dann hast du im Falle eines Ausfalls aber keine Redundanz und es ist ja auch unerheblich von welcher Sub CA das Zertifikat kommt.

/Thomas

Hmm, wie darf ich das verstehen? In der GPO kann ich ja nicht auswählen, welche CA das Zertifikat ausstellen soll, das ist ja das Problem.

Ketanest
Mitglied: emeriks
Lösung emeriks 18.01.2022 um 15:28:53 Uhr
Goto Top
Aber schau mal hier:
AD DS Site Awareness for AD CS and PKI Clients
Ich habe das nicht komplett gelesen, aber es scheint das zu sein, was Du suchst.
Mitglied: ketanest112
ketanest112 18.01.2022 um 15:51:12 Uhr
Goto Top
Zitat von @emeriks:

Aber schau mal hier:
AD DS Site Awareness for AD CS and PKI Clients
Ich habe das nicht komplett gelesen, aber es scheint das zu sein, was Du suchst.

Ahhh, sehr geil, genau das ist es, danke dir!

Gruß
Ketanest