lcer00
Goto Top

Benutzerzertifikate automatisch per GPO verteilen

Hallo zusammen,

Server 2012R2: Für die automatische Bereitstellung von Computerzertifikaten gibt es ja unter Computerkonfiguration – Richtlinien – Windows-Einstellungen – Richtlinien für öffentliche Schlüssel
  • Zertifikatdienstclient - Zertifikatregistrierungsrichtlinie
  • Zertifikatdienstclient - Serverspeicherung von Anmeldeinformationen
  • Zertifikatdienstclient - Automatische Registrierung

Und dann gibt es noch:
  • Einstellungen für automatische Zertifikatregistrierung

Für das automatische Verteilen von Computerzertifikaten habe ich die 3 Einstellungen konfiguriert und einen Eintrag Neu->Automatische Zertifikatanforderung angelegt.

Unter Benutzerkonfiguration gibt es (bei mir?) den Eintrag Einstellungen für automatische Zertifikatregistrierung nicht. Unter Computerkonfiguration kann ich nur Zertifikatvorlagen für Computer auswählen.

Wo ist mein Denkfehler - bzw. was ist korrekt:
  1. mein GPO-Editor ist kaputt. Bei Benutzerkonfiguration müsste auch Neu->Automatische Zertifikatanforderung auch möglich sein.
  2. Es genügt, die ersten drei Richtlinien zu konfigurieren. Neu->Automatische Zertifikatanforderung ist für den Normalfall nicht erforderlich. Es wird automatisch eine passende? Benutzer- oder Computer-Zertifikatvorlage ausgewählt. Dann brauche ich den Eintrag Neu->Automatische Zertifikatanforderung nur bei zusätzlichen Computerzertifikate. Es kann immer nur ein Benutzerzertifikate automatisch ausgerollt werden.
  3. Benutzerzertifikate könne überhaupt nicht automatisch ausgerollt werden.

Variante 2 würde auch erklären, warum die DomänenPCs bei mir immer 2 Computerzertifikate erhalten. face-smile

Grüße


lcer

Content-ID: 400483

Url: https://administrator.de/forum/benutzerzertifikate-automatisch-per-gpo-verteilen-400483.html

Ausgedruckt am: 02.04.2025 um 16:04 Uhr

emeriks
emeriks 05.02.2019 um 15:18:23 Uhr
Goto Top
Hi,
schau mal z.B. hier, weiter unten Abschnitt "User certificates Auto-Enrollment".

E.
SeaStorm
SeaStorm 05.02.2019 aktualisiert um 16:03:06 Uhr
Goto Top
Hi

Benutzer sieht bei mir so aus
2019-02-05 15_52_43

Ist beim Computer quasi das gleiche.
Welches Zertifikat beim Autoenrollment genommen wird, hängt dann an der Berechtigung der Vorlage.
Da muss der User bzw Computer Read & Autoenroll haben.
Gibt's das bei mehreren Vorlagen, dann gibts auch mehrere Zertifikate
lcer00
lcer00 05.02.2019 um 16:00:59 Uhr
Goto Top
Hallo,
Zitat von @emeriks:

hier

Wo?

Grüße

lcer
138721
138721 05.02.2019 aktualisiert um 16:14:35 Uhr
Goto Top
lcer00
lcer00 05.02.2019 um 16:55:04 Uhr
Goto Top
Zitat von @138721:

Wo?
12.8.2 Autoenrollment

Hatte ich ja gelesen. Aber genau das meine ich.

Auf dieser Seite (in diesem Buch, steht hier nebenbei seit Jahren im Schrank face-smile ) ist die Verteilung von Computerzertifikaten anders beschrieben, als die von Benutzerzertifikaten. Für Computerzertifikate wird die "Automatische Zertifikatanforderung" beschrieben. Für Benutzerzertifikate "Autoenrollment".

Soll ich das so verstehen, dass Für Computer beide Varianten unabhängig voneinander möglich sind (Autoenrollment UND/ODER Automatische Zertifikatsanforderung) und für Benutzer nur Autoenrollment möglich ist?

Grüße

lcer
138721
Lösung 138721 05.02.2019 aktualisiert um 16:59:58 Uhr
Goto Top
Zitat von @lcer00:
Soll ich das so verstehen, dass Für Computer beide Varianten unabhängig voneinander möglich sind (Autoenrollment UND/ODER Automatische Zertifikatsanforderung) und für Benutzer nur Autoenrollment möglich ist?
Beides ist unabhängig voneinander möglich.
emeriks
emeriks 06.02.2019 um 08:20:00 Uhr
Goto Top
lcer00
lcer00 06.02.2019 aktualisiert um 12:17:54 Uhr
Goto Top
Hallo emeriks,

da steht es schon wieder!


Only configuring this will not get the job done. You have to tell the clients what type of certificate they can request and this can be done by creating a Certificate Request Setting. To set it up expand the Public Keys Policies folder, right-click Automatic Certificate Request Settings and choose New > Automatic Certificate Request.



Brauche ich das für die Computerzertifikate nun oder nicht?? In der Benutzerkonfig ist das jedenfalls gar nicht möglich.
Vielleicht schreiben das auch nur alle HowTos voneinander ab?

Grüße

lcer
138721
Lösung 138721 06.02.2019 aktualisiert um 12:40:17 Uhr
Goto Top
Zitat von @lcer00:
Brauche ich das für die Computerzertifikate nun oder nicht??
Nein die GPO Einstellung ist kein Muss!. Das wäre die "klassische" Art, ohne die Richtlinie kann man das in der CA mittels einer „Doppelten Vorlage“ die automatische Anforderung für Computer-Zertifikate ohne die oben genannte Gruppenrichtlinien-Einstellung konfigurieren.

    Server-Manager“ öffnen.
    Zu „Rollen – Active Directory-Zertifikatsdienste – Unternehmens-PKI – Zertifikatvorlagen“ wechseln.
    Die Zertifikatvorlage „Computer“ mit der rechten Maustaste anklicken und „Doppelte Vorlage“ auswählen.
    Einen Namen für die „neue“ Vorlage vergeben und zur Registerkarte „Sicherheit“ wechseln.
    Der Benutzergruppe „Domänencomputer“ die Berechtigung „Automatisch registrieren“ erteilen.

Nun muss die „alte“ Vorlage zurückgezogen und die neue Vorlage zugeteilt werden.

    „Server-Manager“ öffnen.
    Zu „Rollen – Active Directory-Zertifikatsdienste -NAME DER CA – Zertifiaktvorlagen“ wechseln.
    Die Zertifikatvorlage „Computer“ löschen.
    Mit der rechten Maustaste auf „Zertifikatvorlagen“ klicken und „Neu – Auszustellende Zertifikatvorlage“ auswählen.
    Die neue Zertifikatvorlage hinzufügen.
https://www.andysblog.de/windows-automatische-zertifikatverteilung-certi ...

In der Benutzerkonfig ist das jedenfalls gar nicht möglich.
Braucht man ja auch nicht weil man die Zertifikate die die Benutzer automatisch beziehen in der CA-MMC als Template festlegt indem dort das AutoEnrollment Recht vergeben wird.

Vielleicht schreiben das auch nur alle HowTos voneinander ab?
Es sind zwei Varianten, in älteren Anleitungen steht das halt noch drin, es geht aber definitiv ohne.
SeaStorm
SeaStorm 06.02.2019 um 13:21:49 Uhr
Goto Top
Hab ich doch schon geschrieben. Du musst an der Vorlage den entsprechenden Usern das Recht auf Autodeployment einräumen. Haben sie das Recht und die entsprechende GPO, dann ziehen die sich die Vorlage auch...