4
Automatische Zertifikatsverteilung - erneuerung
Hallo Zusammen,
ich habe mal wieder eine Frage bzgl. meiner Microsoft PKI.
Lasst mich dazu mein Problem/ Anliegen kurz beschreiben:
Ich habe eine Zertifikatsvorlage (Computerzertifikat) erstellt, welche eine Gültigkeit von fünf Tagen hat.
Die Erneuerungszeit habe ich auf drei Tage gestellt.
Wenn ich nun sehe, dass das Zertifikat des Clients am Sonntag um 6:00 Uhr abläuft, wie schaffe ich es, dass der Client sein Zertifikat bereits spätestens am Freitag um 6:00 Uhr erneuert?
Erfahrungsgemäß ziehen sich die Clients, trotz längerer Erneuerungszeit, erst so ca. 8 Std. vor Ablauf ihres Zertifikats ein neues von meiner CA.
Dies ist solang kein Problem, wie die Clients im Betrieb sind, da funktioniert alles einwandfrei. Nur wenn ein Client über das Wochenende ausgeschaltet ist, erhält er logischerweise kein neues Zertifikat.
Hier noch ein paar Hintergrundinformationen zur PKI und Zertifikatsvorlage:
-Two Tier Hierarchy
-MS Windows Server 2012 R2 (auf beiden CAs)
-RootCA offline und ausgeschaltet (wie üblich)
Zertifikatsvorlage:
-Computerzertifikat (Client- und Serverauthentifizierung)
-Gültigkeitsdauer: 5 Tage
-Erneuerungszeit: 3 Tage
-In Active Directory veröffentlicht
Kompatibilitätseinstellungen:
-Zertifizierungsstelle: Windows Server 2012 R2
-Zertifikatsempfänger: Windows 7 / Server 2008 R2
P.S. Für den Produktivbetrieb sind natürlich eine längere Gültigkeitsdauer und Erneuerungszeit angedacht.
Solltet ihr noch weitere Informationen brauchen, dann schreibt mir einfach.
Danke im Voraus
Beste Grüße!
ich habe mal wieder eine Frage bzgl. meiner Microsoft PKI.
Lasst mich dazu mein Problem/ Anliegen kurz beschreiben:
Ich habe eine Zertifikatsvorlage (Computerzertifikat) erstellt, welche eine Gültigkeit von fünf Tagen hat.
Die Erneuerungszeit habe ich auf drei Tage gestellt.
Wenn ich nun sehe, dass das Zertifikat des Clients am Sonntag um 6:00 Uhr abläuft, wie schaffe ich es, dass der Client sein Zertifikat bereits spätestens am Freitag um 6:00 Uhr erneuert?
Erfahrungsgemäß ziehen sich die Clients, trotz längerer Erneuerungszeit, erst so ca. 8 Std. vor Ablauf ihres Zertifikats ein neues von meiner CA.
Dies ist solang kein Problem, wie die Clients im Betrieb sind, da funktioniert alles einwandfrei. Nur wenn ein Client über das Wochenende ausgeschaltet ist, erhält er logischerweise kein neues Zertifikat.
Hier noch ein paar Hintergrundinformationen zur PKI und Zertifikatsvorlage:
-Two Tier Hierarchy
-MS Windows Server 2012 R2 (auf beiden CAs)
-RootCA offline und ausgeschaltet (wie üblich)
Zertifikatsvorlage:
-Computerzertifikat (Client- und Serverauthentifizierung)
-Gültigkeitsdauer: 5 Tage
-Erneuerungszeit: 3 Tage
-In Active Directory veröffentlicht
Kompatibilitätseinstellungen:
-Zertifizierungsstelle: Windows Server 2012 R2
-Zertifikatsempfänger: Windows 7 / Server 2008 R2
P.S. Für den Produktivbetrieb sind natürlich eine längere Gültigkeitsdauer und Erneuerungszeit angedacht.
Solltet ihr noch weitere Informationen brauchen, dann schreibt mir einfach.
Danke im Voraus
Beste Grüße!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 331322
Url: https://administrator.de/forum/automatische-zertifikatsverteilung-erneuerung-331322.html
Ausgedruckt am: 24.01.2025 um 08:01 Uhr
4 Kommentare
Neuester Kommentar
certutil -pulseZitat von @132272:
Gruß
> certutil -pulse
> Meine Zertifikate sind soweit angepasst und tauchen auch in der Übersicht (in der MMC) auf, wenn man den Weg, welchen du mit dem Pulse Befehl beschreibst, per GUI beschreitet. Dies nur, wenn sie noch nicht registriert sind.
Sobald ein Zertifikat registriert ist, und man den Pulse Befehl benutzt, gehe ich davon aus, dass der Client nach einem neuen Zertifikat fragt, sofern das bestehende Zertifikat bereits im Erneuerungszeitraum liegt?
Gruß
Jepp.
Der Befehl tut genau was er soll.
Ich habe diese Zeile einfach bei uns ins Logon-Script mit eingebaut.
So funktioniert es immer, wenn die Leute morgens ihre Computer hochfahren.
Ich habe diese Zeile einfach bei uns ins Logon-Script mit eingebaut.
So funktioniert es immer, wenn die Leute morgens ihre Computer hochfahren.
