Benutzerzertifikate automatisch per GPO verteilen
Hallo zusammen,
Server 2012R2: Für die automatische Bereitstellung von Computerzertifikaten gibt es ja unter Computerkonfiguration – Richtlinien – Windows-Einstellungen – Richtlinien für öffentliche Schlüssel
Und dann gibt es noch:
Für das automatische Verteilen von Computerzertifikaten habe ich die 3 Einstellungen konfiguriert und einen Eintrag Neu->Automatische Zertifikatanforderung angelegt.
Unter Benutzerkonfiguration gibt es (bei mir?) den Eintrag Einstellungen für automatische Zertifikatregistrierung nicht. Unter Computerkonfiguration kann ich nur Zertifikatvorlagen für Computer auswählen.
Wo ist mein Denkfehler - bzw. was ist korrekt:
Variante 2 würde auch erklären, warum die DomänenPCs bei mir immer 2 Computerzertifikate erhalten.
Grüße
lcer
Server 2012R2: Für die automatische Bereitstellung von Computerzertifikaten gibt es ja unter Computerkonfiguration – Richtlinien – Windows-Einstellungen – Richtlinien für öffentliche Schlüssel
- Zertifikatdienstclient - Zertifikatregistrierungsrichtlinie
- Zertifikatdienstclient - Serverspeicherung von Anmeldeinformationen
- Zertifikatdienstclient - Automatische Registrierung
Und dann gibt es noch:
- Einstellungen für automatische Zertifikatregistrierung
Für das automatische Verteilen von Computerzertifikaten habe ich die 3 Einstellungen konfiguriert und einen Eintrag Neu->Automatische Zertifikatanforderung angelegt.
Unter Benutzerkonfiguration gibt es (bei mir?) den Eintrag Einstellungen für automatische Zertifikatregistrierung nicht. Unter Computerkonfiguration kann ich nur Zertifikatvorlagen für Computer auswählen.
Wo ist mein Denkfehler - bzw. was ist korrekt:
- mein GPO-Editor ist kaputt. Bei Benutzerkonfiguration müsste auch Neu->Automatische Zertifikatanforderung auch möglich sein.
- Es genügt, die ersten drei Richtlinien zu konfigurieren. Neu->Automatische Zertifikatanforderung ist für den Normalfall nicht erforderlich. Es wird automatisch eine passende? Benutzer- oder Computer-Zertifikatvorlage ausgewählt. Dann brauche ich den Eintrag Neu->Automatische Zertifikatanforderung nur bei zusätzlichen Computerzertifikate. Es kann immer nur ein Benutzerzertifikate automatisch ausgerollt werden.
- Benutzerzertifikate könne überhaupt nicht automatisch ausgerollt werden.
Variante 2 würde auch erklären, warum die DomänenPCs bei mir immer 2 Computerzertifikate erhalten.
Grüße
lcer
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 400483
Url: https://administrator.de/forum/benutzerzertifikate-automatisch-per-gpo-verteilen-400483.html
Ausgedruckt am: 24.04.2025 um 23:04 Uhr
10 Kommentare
Neuester Kommentar
Hi,
schau mal z.B. hier, weiter unten Abschnitt "User certificates Auto-Enrollment".
E.
schau mal z.B. hier, weiter unten Abschnitt "User certificates Auto-Enrollment".
E.
Hi
Benutzer sieht bei mir so aus
Ist beim Computer quasi das gleiche.
Welches Zertifikat beim Autoenrollment genommen wird, hängt dann an der Berechtigung der Vorlage.
Da muss der User bzw Computer Read & Autoenroll haben.
Gibt's das bei mehreren Vorlagen, dann gibts auch mehrere Zertifikate
Benutzer sieht bei mir so aus
Ist beim Computer quasi das gleiche.
Welches Zertifikat beim Autoenrollment genommen wird, hängt dann an der Berechtigung der Vorlage.
Da muss der User bzw Computer Read & Autoenroll haben.
Gibt's das bei mehreren Vorlagen, dann gibts auch mehrere Zertifikate
Hatte ich ja gelesen. Aber genau das meine ich.
Auf dieser Seite (in diesem Buch, steht hier nebenbei seit Jahren im Schrank
) ist die Verteilung von Computerzertifikaten anders beschrieben, als die von Benutzerzertifikaten. Für Computerzertifikate wird die "Automatische Zertifikatanforderung" beschrieben. Für Benutzerzertifikate "Autoenrollment".Soll ich das so verstehen, dass Für Computer beide Varianten unabhängig voneinander möglich sind (Autoenrollment UND/ODER Automatische Zertifikatsanforderung) und für Benutzer nur Autoenrollment möglich ist?
Grüße
lcer
Zitat von @lcer00:
Soll ich das so verstehen, dass Für Computer beide Varianten unabhängig voneinander möglich sind (Autoenrollment UND/ODER Automatische Zertifikatsanforderung) und für Benutzer nur Autoenrollment möglich ist?
Beides ist unabhängig voneinander möglich.Soll ich das so verstehen, dass Für Computer beide Varianten unabhängig voneinander möglich sind (Autoenrollment UND/ODER Automatische Zertifikatsanforderung) und für Benutzer nur Autoenrollment möglich ist?
Hallo emeriks,
da steht es schon wieder!
Only configuring this will not get the job done. You have to tell the clients what type of certificate they can request and this can be done by creating a Certificate Request Setting. To set it up expand the Public Keys Policies folder, right-click Automatic Certificate Request Settings and choose New > Automatic Certificate Request.
Brauche ich das für die Computerzertifikate nun oder nicht?? In der Benutzerkonfig ist das jedenfalls gar nicht möglich.
Vielleicht schreiben das auch nur alle HowTos voneinander ab?
Grüße
lcer
da steht es schon wieder!
Only configuring this will not get the job done. You have to tell the clients what type of certificate they can request and this can be done by creating a Certificate Request Setting. To set it up expand the Public Keys Policies folder, right-click Automatic Certificate Request Settings and choose New > Automatic Certificate Request.
Brauche ich das für die Computerzertifikate nun oder nicht?? In der Benutzerkonfig ist das jedenfalls gar nicht möglich.
Vielleicht schreiben das auch nur alle HowTos voneinander ab?
Grüße
lcer
Nein die GPO Einstellung ist kein Muss!. Das wäre die "klassische" Art, ohne die Richtlinie kann man das in der CA mittels einer „Doppelten Vorlage“ die automatische Anforderung für Computer-Zertifikate ohne die oben genannte Gruppenrichtlinien-Einstellung konfigurieren.
https://www.andysblog.de/windows-automatische-zertifikatverteilung-certi ...
Server-Manager“ öffnen.
Zu „Rollen – Active Directory-Zertifikatsdienste – Unternehmens-PKI – Zertifikatvorlagen“ wechseln.
Die Zertifikatvorlage „Computer“ mit der rechten Maustaste anklicken und „Doppelte Vorlage“ auswählen.
Einen Namen für die „neue“ Vorlage vergeben und zur Registerkarte „Sicherheit“ wechseln.
Der Benutzergruppe „Domänencomputer“ die Berechtigung „Automatisch registrieren“ erteilen.
Nun muss die „alte“ Vorlage zurückgezogen und die neue Vorlage zugeteilt werden.
„Server-Manager“ öffnen.
Zu „Rollen – Active Directory-Zertifikatsdienste -NAME DER CA – Zertifiaktvorlagen“ wechseln.
Die Zertifikatvorlage „Computer“ löschen.
Mit der rechten Maustaste auf „Zertifikatvorlagen“ klicken und „Neu – Auszustellende Zertifikatvorlage“ auswählen.
Die neue Zertifikatvorlage hinzufügen.
In der Benutzerkonfig ist das jedenfalls gar nicht möglich.
Braucht man ja auch nicht weil man die Zertifikate die die Benutzer automatisch beziehen in der CA-MMC als Template festlegt indem dort das AutoEnrollment Recht vergeben wird.Vielleicht schreiben das auch nur alle HowTos voneinander ab?
Es sind zwei Varianten, in älteren Anleitungen steht das halt noch drin, es geht aber definitiv ohne.
Hab ich doch schon geschrieben. Du musst an der Vorlage den entsprechenden Usern das Recht auf Autodeployment einräumen. Haben sie das Recht und die entsprechende GPO, dann ziehen die sich die Vorlage auch...
