Benutzerzertifikate automatisch per GPO verteilen
Hallo zusammen,
Server 2012R2: Für die automatische Bereitstellung von Computerzertifikaten gibt es ja unter Computerkonfiguration – Richtlinien – Windows-Einstellungen – Richtlinien für öffentliche Schlüssel
Und dann gibt es noch:
Für das automatische Verteilen von Computerzertifikaten habe ich die 3 Einstellungen konfiguriert und einen Eintrag Neu->Automatische Zertifikatanforderung angelegt.
Unter Benutzerkonfiguration gibt es (bei mir?) den Eintrag Einstellungen für automatische Zertifikatregistrierung nicht. Unter Computerkonfiguration kann ich nur Zertifikatvorlagen für Computer auswählen.
Wo ist mein Denkfehler - bzw. was ist korrekt:
Variante 2 würde auch erklären, warum die DomänenPCs bei mir immer 2 Computerzertifikate erhalten.
Grüße
lcer
Server 2012R2: Für die automatische Bereitstellung von Computerzertifikaten gibt es ja unter Computerkonfiguration – Richtlinien – Windows-Einstellungen – Richtlinien für öffentliche Schlüssel
- Zertifikatdienstclient - Zertifikatregistrierungsrichtlinie
- Zertifikatdienstclient - Serverspeicherung von Anmeldeinformationen
- Zertifikatdienstclient - Automatische Registrierung
Und dann gibt es noch:
- Einstellungen für automatische Zertifikatregistrierung
Für das automatische Verteilen von Computerzertifikaten habe ich die 3 Einstellungen konfiguriert und einen Eintrag Neu->Automatische Zertifikatanforderung angelegt.
Unter Benutzerkonfiguration gibt es (bei mir?) den Eintrag Einstellungen für automatische Zertifikatregistrierung nicht. Unter Computerkonfiguration kann ich nur Zertifikatvorlagen für Computer auswählen.
Wo ist mein Denkfehler - bzw. was ist korrekt:
- mein GPO-Editor ist kaputt. Bei Benutzerkonfiguration müsste auch Neu->Automatische Zertifikatanforderung auch möglich sein.
- Es genügt, die ersten drei Richtlinien zu konfigurieren. Neu->Automatische Zertifikatanforderung ist für den Normalfall nicht erforderlich. Es wird automatisch eine passende? Benutzer- oder Computer-Zertifikatvorlage ausgewählt. Dann brauche ich den Eintrag Neu->Automatische Zertifikatanforderung nur bei zusätzlichen Computerzertifikate. Es kann immer nur ein Benutzerzertifikate automatisch ausgerollt werden.
- Benutzerzertifikate könne überhaupt nicht automatisch ausgerollt werden.
Variante 2 würde auch erklären, warum die DomänenPCs bei mir immer 2 Computerzertifikate erhalten.
Grüße
lcer
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 400483
Url: https://administrator.de/forum/benutzerzertifikate-automatisch-per-gpo-verteilen-400483.html
Ausgedruckt am: 02.04.2025 um 16:04 Uhr
10 Kommentare
Neuester Kommentar

Zitat von @lcer00:
Soll ich das so verstehen, dass Für Computer beide Varianten unabhängig voneinander möglich sind (Autoenrollment UND/ODER Automatische Zertifikatsanforderung) und für Benutzer nur Autoenrollment möglich ist?
Beides ist unabhängig voneinander möglich.Soll ich das so verstehen, dass Für Computer beide Varianten unabhängig voneinander möglich sind (Autoenrollment UND/ODER Automatische Zertifikatsanforderung) und für Benutzer nur Autoenrollment möglich ist?

Nein die GPO Einstellung ist kein Muss!. Das wäre die "klassische" Art, ohne die Richtlinie kann man das in der CA mittels einer „Doppelten Vorlage“ die automatische Anforderung für Computer-Zertifikate ohne die oben genannte Gruppenrichtlinien-Einstellung konfigurieren.
https://www.andysblog.de/windows-automatische-zertifikatverteilung-certi ...
Server-Manager“ öffnen.
Zu „Rollen – Active Directory-Zertifikatsdienste – Unternehmens-PKI – Zertifikatvorlagen“ wechseln.
Die Zertifikatvorlage „Computer“ mit der rechten Maustaste anklicken und „Doppelte Vorlage“ auswählen.
Einen Namen für die „neue“ Vorlage vergeben und zur Registerkarte „Sicherheit“ wechseln.
Der Benutzergruppe „Domänencomputer“ die Berechtigung „Automatisch registrieren“ erteilen.
Nun muss die „alte“ Vorlage zurückgezogen und die neue Vorlage zugeteilt werden.
„Server-Manager“ öffnen.
Zu „Rollen – Active Directory-Zertifikatsdienste -NAME DER CA – Zertifiaktvorlagen“ wechseln.
Die Zertifikatvorlage „Computer“ löschen.
Mit der rechten Maustaste auf „Zertifikatvorlagen“ klicken und „Neu – Auszustellende Zertifikatvorlage“ auswählen.
Die neue Zertifikatvorlage hinzufügen.
In der Benutzerkonfig ist das jedenfalls gar nicht möglich.
Braucht man ja auch nicht weil man die Zertifikate die die Benutzer automatisch beziehen in der CA-MMC als Template festlegt indem dort das AutoEnrollment Recht vergeben wird.Vielleicht schreiben das auch nur alle HowTos voneinander ab?
Es sind zwei Varianten, in älteren Anleitungen steht das halt noch drin, es geht aber definitiv ohne.