Computerzertifikat mittels GPO ausrollen
Hallo wieder!
Wir verwenden zum Absichern unserer WLAN-Laptops ein Computerzertifkat. Dazu haben wir uns einen 2003 Server hergenommen und dort eine ROOT-CA aufgesetzt. Mittels MMC holen wir für jeden Client ein Zertifiakt ab dass für 6 Monate gültig ist.
Nun muss man wenn das Zert. abgelaufen ist, wieder zu dem Laptop hingehen und mittels MMC....
Meine Frage:
Kann ich dieses Ausrollen über die GPO steuern?
Und wenn ja wie mach ich das am sinnvollsten?
Danke
Wir verwenden zum Absichern unserer WLAN-Laptops ein Computerzertifkat. Dazu haben wir uns einen 2003 Server hergenommen und dort eine ROOT-CA aufgesetzt. Mittels MMC holen wir für jeden Client ein Zertifiakt ab dass für 6 Monate gültig ist.
Nun muss man wenn das Zert. abgelaufen ist, wieder zu dem Laptop hingehen und mittels MMC....
Meine Frage:
Kann ich dieses Ausrollen über die GPO steuern?
Und wenn ja wie mach ich das am sinnvollsten?
Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 82450
Url: https://administrator.de/forum/computerzertifikat-mittels-gpo-ausrollen-82450.html
Ausgedruckt am: 23.12.2024 um 04:12 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
wenn du ein ActiveDirectory hast, die gewünschten Computer Mitglied davon sind und du deine CA zufälligerweise als "Enterprise CA" aufgesetzt hast, dann ja:
Neue Richtlinie erstellen:
-> Computerkonfiguration
-> Windows-Einstellungen
-> Sicherheitseinstellungen
-> Richtlinien öffentlicher Schlüssel
-> Einstellung der automatischen Zertifikatsanforderung
hier eine neue Anforderungsrichtlinie erstellen, die gewünschte Zertifikatsvorlage auswählen (Computerzertifikat), etc..
Wenn du allerdings eine Standalone-CA hast geht das nicht. Das "autoenrollment" ist einer der Hauptunterschiede zwischen den beiden Varianten.
Gruß,
Schorsch
wenn du ein ActiveDirectory hast, die gewünschten Computer Mitglied davon sind und du deine CA zufälligerweise als "Enterprise CA" aufgesetzt hast, dann ja:
Neue Richtlinie erstellen:
-> Computerkonfiguration
-> Windows-Einstellungen
-> Sicherheitseinstellungen
-> Richtlinien öffentlicher Schlüssel
-> Einstellung der automatischen Zertifikatsanforderung
hier eine neue Anforderungsrichtlinie erstellen, die gewünschte Zertifikatsvorlage auswählen (Computerzertifikat), etc..
Wenn du allerdings eine Standalone-CA hast geht das nicht. Das "autoenrollment" ist einer der Hauptunterschiede zwischen den beiden Varianten.
Gruß,
Schorsch
Hallo,
musst du nicht einstellen. Eine Enterprise-CA registriert sich selbstständig im Active Directory. Die findet ein Client daher von ganz alleine.
Was ich noch vergessen habe:
unter "Richtlinien öffentlicher Schlüssel" findest du noch eine Option Einstellungen für die automatische Registrierung. Da musst du natürlich auch noch ein Häkchen setzen, dass er abgelaufene Zertifikate automatisch erneuern soll. Sonst stehst du in 6 Monaten wieder hier...
Und dann einfach ausprobieren.
in der MMC eines Clients (wo du die Zertifkate bisher manuell erneuert hast) siehst du ja, ob er sich ein neues geholt hat. Oder am Server unter Start -> Verwaltung -> Zertifizierungsstelle -> ausgestellte Zertifikate.
Gruß,
Schorsch
musst du nicht einstellen. Eine Enterprise-CA registriert sich selbstständig im Active Directory. Die findet ein Client daher von ganz alleine.
Was ich noch vergessen habe:
unter "Richtlinien öffentlicher Schlüssel" findest du noch eine Option Einstellungen für die automatische Registrierung. Da musst du natürlich auch noch ein Häkchen setzen, dass er abgelaufene Zertifikate automatisch erneuern soll. Sonst stehst du in 6 Monaten wieder hier...
Und dann einfach ausprobieren.
in der MMC eines Clients (wo du die Zertifkate bisher manuell erneuert hast) siehst du ja, ob er sich ein neues geholt hat. Oder am Server unter Start -> Verwaltung -> Zertifizierungsstelle -> ausgestellte Zertifikate.
Gruß,
Schorsch