Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Automatische Zertifikatsverteilung - erneuerung

Mitglied: Snipes

Snipes (Level 1) - Jetzt verbinden

06.03.2017 um 13:20 Uhr, 1604 Aufrufe, 4 Kommentare

Hallo Zusammen,
ich habe mal wieder eine Frage bzgl. meiner Microsoft PKI.
Lasst mich dazu mein Problem/ Anliegen kurz beschreiben:

Ich habe eine Zertifikatsvorlage (Computerzertifikat) erstellt, welche eine Gültigkeit von fünf Tagen hat.
Die Erneuerungszeit habe ich auf drei Tage gestellt.
Wenn ich nun sehe, dass das Zertifikat des Clients am Sonntag um 6:00 Uhr abläuft, wie schaffe ich es, dass der Client sein Zertifikat bereits spätestens am Freitag um 6:00 Uhr erneuert?
Erfahrungsgemäß ziehen sich die Clients, trotz längerer Erneuerungszeit, erst so ca. 8 Std. vor Ablauf ihres Zertifikats ein neues von meiner CA.
Dies ist solang kein Problem, wie die Clients im Betrieb sind, da funktioniert alles einwandfrei. Nur wenn ein Client über das Wochenende ausgeschaltet ist, erhält er logischerweise kein neues Zertifikat.

Hier noch ein paar Hintergrundinformationen zur PKI und Zertifikatsvorlage:
-Two Tier Hierarchy
-MS Windows Server 2012 R2 (auf beiden CAs)
-RootCA offline und ausgeschaltet (wie üblich)

Zertifikatsvorlage:
-Computerzertifikat (Client- und Serverauthentifizierung)
-Gültigkeitsdauer: 5 Tage
-Erneuerungszeit: 3 Tage
-In Active Directory veröffentlicht

Kompatibilitätseinstellungen:
-Zertifizierungsstelle: Windows Server 2012 R2
-Zertifikatsempfänger: Windows 7 / Server 2008 R2


P.S. Für den Produktivbetrieb sind natürlich eine längere Gültigkeitsdauer und Erneuerungszeit angedacht.
Solltet ihr noch weitere Informationen brauchen, dann schreibt mir einfach.

Danke im Voraus
Beste Grüße!
Mitglied: 132272
LÖSUNG 06.03.2017 um 16:39 Uhr
01.
certutil -pulse
Gruß
Bitte warten ..
Mitglied: Snipes
07.03.2017, aktualisiert um 14:17 Uhr
Zitat von 132272:

01.
> certutil -pulse
02.
> 
Gruß

Meine Zertifikate sind soweit angepasst und tauchen auch in der Übersicht (in der MMC) auf, wenn man den Weg, welchen du mit dem Pulse Befehl beschreibst, per GUI beschreitet. Dies nur, wenn sie noch nicht registriert sind.

Sobald ein Zertifikat registriert ist, und man den Pulse Befehl benutzt, gehe ich davon aus, dass der Client nach einem neuen Zertifikat fragt, sofern das bestehende Zertifikat bereits im Erneuerungszeitraum liegt?

Gruß
Bitte warten ..
Mitglied: 132272
07.03.2017 um 14:17 Uhr
Jepp.
Bitte warten ..
Mitglied: Snipes
14.03.2017 um 08:07 Uhr
Der Befehl tut genau was er soll.
Ich habe diese Zeile einfach bei uns ins Logon-Script mit eingebaut.
So funktioniert es immer, wenn die Leute morgens ihre Computer hochfahren.
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs
Erneuerung Netzwerk Komponenten
Frage von clonexSwitche und Hubs22 Kommentare

Hallo, im Zuge der DSGVO und allgeminer Sicherheit etc. wollen wir unsere derzeitigen Netzwerkkomponenten austauschen. Am entsprechenden Standort sind ...

Exchange Server
Zertifikatsfehler nach Erneuerung
gelöst Frage von Micky770Exchange Server4 Kommentare

Moin Exchange 2010. Selbst signiertes cert Zertifikat am Tag des Ablaufs erneuert Danach Fehler: Das sicherheitszertifikat wurde von einer ...

Exchange Server
Erneuerung Zertifikat Exchange 2010
Frage von Wigald010Exchange Server2 Kommentare

Hallo liebe Community, Ich habe bei uns den bereits seit Jahren laufenden Exchange 2010 übernommen und in einigen Punkten ...

Exchange Server

Exchange Sende Problem nach Provider IP Erneuerung

gelöst Frage von Marcy20Exchange Server22 Kommentare

Hallo ich habe folgendes Problem: Exchange 2016 auf ws 2016 und einen DC auf 2016. hatte ne feste IP ...

Neue Wissensbeiträge
Administrator.de Feedback
Was als Noob hier mal gesagt werden musste
Information von th30ther vor 20 StundenAdministrator.de Feedback2 Kommentare

Moinsen wertes Forum, ich möchte mich an dieser Stelle mal beim Forum generell und bei aqui speziell bedanken! Ich ...

Windows 10
Windows 10 Mai 2019 Update (Version 1903) ist da
Information von kgborn vor 1 TagWindows 104 Kommentare

Nur ein kurzer Infosplitter: Microsoft hat die Nacht (21. Mai 2019) das Funktionsupdate auf Windows 10 Version 1903 freigegeben. ...

E-Mail

Newsletter: Unread News - IT News in Byte Länge

Tipp von franktaylor vor 1 TagE-Mail11 Kommentare

Hallo, würde gerne auf einen Newsletter hinweisen, den ich heute per Zufall gefunden und mit euch gerne teilen möchte: ...

Outlook & Mail

Outlook 2016 stürzt ab, wenn man ein (at)- Zeichen im Text einer neuen E-Mail schreibt

Tipp von Enriqe vor 2 TagenOutlook & Mail4 Kommentare

Bei uns in der Firma häuften sich die Fälle, bei denen sich Outlook kommentarlos verabschiedet, wenn man ein - ...

Heiß diskutierte Inhalte
Hyper-V
Novell virtualisieren
Frage von spoboeHyper-V20 Kommentare

Hallo zusammen, ich habe absolut keine Ahnung von Novell, aber wir haben hier ein ganz altes Schätzchen (vermutlich Novell ...

Windows Server
Ungewollte IP Änderung am DC sorgt für Probleme
Frage von thomas-99Windows Server19 Kommentare

Hallo Zusammen, wir haben ein kleines Netz mit 5 verschiedenen VMs (DC, AD, Fileserver, Exchange, TK Anlage - alle ...

Router & Routing
Anfängerfrage zum VLAN Routing
Frage von simbeaRouter & Routing17 Kommentare

Folgendes Setting soll umgesetzt werden: Um in meiner Praxis die Rechner von einer VOIP-Telefonanlage zu trennen wird ein Cisco ...

Windows Netzwerk
Netzlaufwerk: einfache Liste der täglich gelöschten, geänderten+neuen Files
gelöst Frage von mylightWindows Netzwerk17 Kommentare

wir haben Windows Clients, das zentrale Teamlaufwerk liegt auf einem Netzwerkserver (ca. 100Gb, 10.000 Verzeichnisse, 180.000Dateien), auf die Konsole ...