Clients einen bestimmten Zertifikatsserver für Zertifikatsanforderungen zuweisen
Schönen guten Tag euch allen.
Ausgangssituation:
Ich werde eine PGP-Hierarchie in meinem Unternehmen einführen und möchte dafür die Zertifikatsdienste vom Windows Server 2003 nutzen.
Alle meine Server nutzen Windows 2003 und alle Clients nutzen Windows XP Pro.
Ich habe zwei Standorte zu betreuen. Die Standorte sind über eine 128Kb/s-Leitung miteinander verbunden.
Es existiert nur eine Active Directory Domäne in meinem Unternehmen.
Ziel:
Es wird eine eigenständige Stammzertifizierungsstelle und es werden zwei untergeordnete Unternehmenszertifizierungsstellen eingerichtet. Jeweils eine untergeordnete Zertifizierungsstelle wird im entsprechendem Standort aufgestellt.
Die Zertifikate sollen automatisch erstellt und zugewiesen werden.
Frage:
Kann ich in einem GPO definieren, das die benötigten Zertifikate für Clients und User nur vom Zertifikatsserver des entsprechenden Standorts angefordert werden?
Ich möchte auf jeden Fall vermeiden das Zertifikatsanforderungen über die 128 Kb/s-Leitung gesendet werden.
Mit freundlichen Grüßen
Michael Pöllmann
Ausgangssituation:
Ich werde eine PGP-Hierarchie in meinem Unternehmen einführen und möchte dafür die Zertifikatsdienste vom Windows Server 2003 nutzen.
Alle meine Server nutzen Windows 2003 und alle Clients nutzen Windows XP Pro.
Ich habe zwei Standorte zu betreuen. Die Standorte sind über eine 128Kb/s-Leitung miteinander verbunden.
Es existiert nur eine Active Directory Domäne in meinem Unternehmen.
Ziel:
Es wird eine eigenständige Stammzertifizierungsstelle und es werden zwei untergeordnete Unternehmenszertifizierungsstellen eingerichtet. Jeweils eine untergeordnete Zertifizierungsstelle wird im entsprechendem Standort aufgestellt.
Die Zertifikate sollen automatisch erstellt und zugewiesen werden.
Frage:
Kann ich in einem GPO definieren, das die benötigten Zertifikate für Clients und User nur vom Zertifikatsserver des entsprechenden Standorts angefordert werden?
Ich möchte auf jeden Fall vermeiden das Zertifikatsanforderungen über die 128 Kb/s-Leitung gesendet werden.
Mit freundlichen Grüßen
Michael Pöllmann
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 73061
Url: https://administrator.de/forum/clients-einen-bestimmten-zertifikatsserver-fuer-zertifikatsanforderungen-zuweisen-73061.html
Ausgedruckt am: 29.04.2025 um 15:04 Uhr
8 Kommentare
Neuester Kommentar
Könntest Du uns noch wissen lassen, welches PGP-Produkt hier zum Einsatz kommt?
saludos
gnarff
saludos
gnarff
Es soll der Zertifikatsdienst vom Windows 2003 Server zum Einsatz kommen, welches schon standardmäßig dabei ist.
Servus
Micha
Servus
Micha
Hallo Micha,
es ist mir immer noch nicht klar, was das nun mit PGP zu tun hat...
Ich glaube Du suchst Richtlinien der vertrauenswürdigen Stammzertifizierungsstellen
saludos
gnarff
[edit/ Thread von PGP nach Verschlüsselung-Startseite verschoben]
es ist mir immer noch nicht klar, was das nun mit PGP zu tun hat...
Ich glaube Du suchst Richtlinien der vertrauenswürdigen Stammzertifizierungsstellen
saludos
gnarff
[edit/ Thread von PGP nach Verschlüsselung-Startseite verschoben]
Hi Gnarff,
ich suche nicht die Richtlinien der vertrauenswürdigen Stammzertifizierungsstellen.
Ich möchte den Zertifikatsdienst (start->Software->windows Komponenten hinzufügen--> IIS, Zertifikatsdienst etc.) und alles was dafür notwendig ist auf einem Windows 2003 Server installieren. Damit hab ich einen voll funktionsfähigen Zertifikatsserver.
Ich werde 3 Zertifikatsserver (1 Stammzertifizierungsstelle, 2 untergeordnete Zertifizierungsstellen) auf diese weise installieren.
WICHTIG:
eine Untergeordnete CA wird in Karlsruhe und die andere untergeordnete CA wird in Stuttgart aufgestellt. Zwischen den Standorten besteht eine 128 Kbit/s-Leitung.
Ich will das die Clients in Karlsruhe nur Zertifikatsanforderungen an die CA in Karlsruhe stellen und die Clients in Stuttgart nur Zertifikatsanforderungen an die CA in Stuttgart stellen.
Ich will mit einem GPO den Clients sagen, dass sie nur von einem bestimmten Zertifikatsserver Zertifikate anfordern sollen. Es soll keine Anforderung über die 128 Kbit/s-Leitung gehen.
Bis denne
Micha
ich suche nicht die Richtlinien der vertrauenswürdigen Stammzertifizierungsstellen.
Ich möchte den Zertifikatsdienst (start->Software->windows Komponenten hinzufügen--> IIS, Zertifikatsdienst etc.) und alles was dafür notwendig ist auf einem Windows 2003 Server installieren. Damit hab ich einen voll funktionsfähigen Zertifikatsserver.
Ich werde 3 Zertifikatsserver (1 Stammzertifizierungsstelle, 2 untergeordnete Zertifizierungsstellen) auf diese weise installieren.
WICHTIG:
eine Untergeordnete CA wird in Karlsruhe und die andere untergeordnete CA wird in Stuttgart aufgestellt. Zwischen den Standorten besteht eine 128 Kbit/s-Leitung.
Ich will das die Clients in Karlsruhe nur Zertifikatsanforderungen an die CA in Karlsruhe stellen und die Clients in Stuttgart nur Zertifikatsanforderungen an die CA in Stuttgart stellen.
Ich will mit einem GPO den Clients sagen, dass sie nur von einem bestimmten Zertifikatsserver Zertifikate anfordern sollen. Es soll keine Anforderung über die 128 Kbit/s-Leitung gehen.
Bis denne
Micha
Hallo Micha!
ich suche nicht die Richtlinien der
vertrauenswürdigen
Stammzertifizierungsstellen.
Die wirst Du aber brauchen...
Ich möchte den Zertifikatsdienst
(start->Software->windows Komponenten
hinzufügen--> IIS, Zertifikatsdienst
etc.) und alles was dafür notwendig ist
auf einem Windows 2003 Server installieren.
Damit hab ich einen voll
funktionsfähigen Zertifikatsserver.
Wie man sowas einrichet, findest Du im Dokument So richten Sie einen Zertifikatsserver ein sehr schön beschrieben
Ich will mit einem GPO den Clients sagen,
dass sie nur von einem bestimmten
Zertifikatsserver Zertifikate anfordern
sollen. Es soll keine Anforderung über
die 128 Kbit/s-Leitung gehen.
Wie ich schon vorher versuchte zu erklären: Richtlinien zum Einrichten von Vertrauensstellungen zu Stammzertifizierungsstellen
Nicht nur die Überschriften lesen...
Hier bekommst Du es im Verlauf des Word-Dokuments noch mehr als ausführlich erklärt
Windows Server 2003-Zertifikatdienste-Lösung
Zum Absichern, mit Vorlagen das Windows Server 2003 Sicherheitshandbuch
saludos
gnarff
ich suche nicht die Richtlinien der
vertrauenswürdigen
Stammzertifizierungsstellen.
Ich möchte den Zertifikatsdienst
(start->Software->windows Komponenten
hinzufügen--> IIS, Zertifikatsdienst
etc.) und alles was dafür notwendig ist
auf einem Windows 2003 Server installieren.
Damit hab ich einen voll
funktionsfähigen Zertifikatsserver.
Ich will mit einem GPO den Clients sagen,
dass sie nur von einem bestimmten
Zertifikatsserver Zertifikate anfordern
sollen. Es soll keine Anforderung über
die 128 Kbit/s-Leitung gehen.
Nicht nur die Überschriften lesen...
Hier bekommst Du es im Verlauf des Word-Dokuments noch mehr als ausführlich erklärt
Windows Server 2003-Zertifikatdienste-Lösung
Zum Absichern, mit Vorlagen das Windows Server 2003 Sicherheitshandbuch
saludos
gnarff
Hi Gnarff,
vielleicht hab ich mich bisschen umständlich ausgedrückt.
1. Ich weiß wo die Richtlinien der vertrauenswürdigen Stammzertifizierungsstellen sich befinden und ich weiß wie ich diese einstellen muss.
2. Ich weiß auch welche Komponenten ich installieren und konfigurieren muss, damit die Zertifizierungsstelle funktioniert.
3. Ich kenne auch die Richtlinien zum Einrichten von Vertrauensstellungen zu Stammzertifizierungsstellen.
Das ist mir alles bekannt.
Ich habe 2 gleichberechtigte untergeordnete Unternehmenszertifizierungsstellen.
Was ich nicht weiß:
Kann ich den Clients irgendwie sagen, dass diese nur Zertifikate von einer dieser beiden Zertifizierungstellen anfordern sollen.
Damit ich folgendes Ergebnis habe:
Clients in Stuttgart sollen nur Anforderungen an die untergeordnete Zertifizierungstelle in Stuttgart schicken.
Clients in Karlsruhe sollen nur Anforderungen an die untergeordnete Zertifizierungstelle in Karlsruhe schicken
Die beiden untergeordneten Zertifizierungsstellen haben die gleiche Stammzertifizierungsstelle.
Servus
Micha
vielleicht hab ich mich bisschen umständlich ausgedrückt.
1. Ich weiß wo die Richtlinien der vertrauenswürdigen Stammzertifizierungsstellen sich befinden und ich weiß wie ich diese einstellen muss.
2. Ich weiß auch welche Komponenten ich installieren und konfigurieren muss, damit die Zertifizierungsstelle funktioniert.
3. Ich kenne auch die Richtlinien zum Einrichten von Vertrauensstellungen zu Stammzertifizierungsstellen.
Das ist mir alles bekannt.
Ich habe 2 gleichberechtigte untergeordnete Unternehmenszertifizierungsstellen.
Was ich nicht weiß:
Kann ich den Clients irgendwie sagen, dass diese nur Zertifikate von einer dieser beiden Zertifizierungstellen anfordern sollen.
Damit ich folgendes Ergebnis habe:
Clients in Stuttgart sollen nur Anforderungen an die untergeordnete Zertifizierungstelle in Stuttgart schicken.
Clients in Karlsruhe sollen nur Anforderungen an die untergeordnete Zertifizierungstelle in Karlsruhe schicken
Die beiden untergeordneten Zertifizierungsstellen haben die gleiche Stammzertifizierungsstelle.
Servus
Micha
Gut, Micha, versuchen wir es andersrum.
1. Werden die Zertifikate manuell angefordert, dh. via Browser der lokalen zertifizierungsstelle>/crtsrv?
oder...
2. Möchtest Du, dass die Zertifikate automatisch bei einloggen des Clients in die Domain bezogen werden?
Im Falle von Punkt 1, gibt es meines Wissens keine GPO die dem Client verbietet sich mit einer anderen als der lokalen Zertifizierungsstelle zu verbinden.
Darf sich der Client nicht mit der Stammzertifizierungstelle verbinden, so handelt es sich hier um die Implementation einer Verbindungsrestriktion und die konfiguriert man z.B. ueber ISA, IPsec oder der Server/Client-Role tauglichen Firewall Deiner Wahl.
Im Falle von Punkt 2, dem Auto-Enrollment, brauchst Du das Zertifikat -Snap-In der MMC;
wie man ein Auto-Enrollment einrichtet, findest Du im Dokument Certificate Autoenrollment in Windows Server 2003 beschrieben.
saludos
gnarff
1. Werden die Zertifikate manuell angefordert, dh. via Browser der lokalen zertifizierungsstelle>/crtsrv?
oder...
2. Möchtest Du, dass die Zertifikate automatisch bei einloggen des Clients in die Domain bezogen werden?
Im Falle von Punkt 1, gibt es meines Wissens keine GPO die dem Client verbietet sich mit einer anderen als der lokalen Zertifizierungsstelle zu verbinden.
Darf sich der Client nicht mit der Stammzertifizierungstelle verbinden, so handelt es sich hier um die Implementation einer Verbindungsrestriktion und die konfiguriert man z.B. ueber ISA, IPsec oder der Server/Client-Role tauglichen Firewall Deiner Wahl.
Im Falle von Punkt 2, dem Auto-Enrollment, brauchst Du das Zertifikat -Snap-In der MMC;
wie man ein Auto-Enrollment einrichtet, findest Du im Dokument Certificate Autoenrollment in Windows Server 2003 beschrieben.
saludos
gnarff
Hi Gnarff,
ich möchte die 2. Variante anwenden. Die Beschreibung sieht schon mal sehr gut aus.
Danke
Micha
ich möchte die 2. Variante anwenden. Die Beschreibung sieht schon mal sehr gut aus.
Danke
Micha
