5
Computerzertifikat mittels GPO ausrollen
Hallo wieder!
Wir verwenden zum Absichern unserer WLAN-Laptops ein Computerzertifkat. Dazu haben wir uns einen 2003 Server hergenommen und dort eine ROOT-CA aufgesetzt. Mittels MMC holen wir für jeden Client ein Zertifiakt ab dass für 6 Monate gültig ist.
Nun muss man wenn das Zert. abgelaufen ist, wieder zu dem Laptop hingehen und mittels MMC....
Meine Frage:
Kann ich dieses Ausrollen über die GPO steuern?
Und wenn ja wie mach ich das am sinnvollsten?
Danke
Wir verwenden zum Absichern unserer WLAN-Laptops ein Computerzertifkat. Dazu haben wir uns einen 2003 Server hergenommen und dort eine ROOT-CA aufgesetzt. Mittels MMC holen wir für jeden Client ein Zertifiakt ab dass für 6 Monate gültig ist.
Nun muss man wenn das Zert. abgelaufen ist, wieder zu dem Laptop hingehen und mittels MMC....
Meine Frage:
Kann ich dieses Ausrollen über die GPO steuern?
Und wenn ja wie mach ich das am sinnvollsten?
Danke
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 82450
Url: https://administrator.de/contentid/82450
Ausgedruckt am: 15.11.2024 um 11:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
wenn du ein ActiveDirectory hast, die gewünschten Computer Mitglied davon sind und du deine CA zufälligerweise als "Enterprise CA" aufgesetzt hast, dann ja:
Neue Richtlinie erstellen:
-> Computerkonfiguration
-> Windows-Einstellungen
-> Sicherheitseinstellungen
-> Richtlinien öffentlicher Schlüssel
-> Einstellung der automatischen Zertifikatsanforderung
hier eine neue Anforderungsrichtlinie erstellen, die gewünschte Zertifikatsvorlage auswählen (Computerzertifikat), etc..
Wenn du allerdings eine Standalone-CA hast geht das nicht. Das "autoenrollment" ist einer der Hauptunterschiede zwischen den beiden Varianten.
Gruß,
Schorsch
wenn du ein ActiveDirectory hast, die gewünschten Computer Mitglied davon sind und du deine CA zufälligerweise als "Enterprise CA" aufgesetzt hast, dann ja:
Neue Richtlinie erstellen:
-> Computerkonfiguration
-> Windows-Einstellungen
-> Sicherheitseinstellungen
-> Richtlinien öffentlicher Schlüssel
-> Einstellung der automatischen Zertifikatsanforderung
hier eine neue Anforderungsrichtlinie erstellen, die gewünschte Zertifikatsvorlage auswählen (Computerzertifikat), etc..
Wenn du allerdings eine Standalone-CA hast geht das nicht. Das "autoenrollment" ist einer der Hauptunterschiede zwischen den beiden Varianten.
Gruß,
Schorsch
Hallo DerSchorsch
Danke für die schnelle Antwort. Jetzt *räusper* muss ich mich der Blöße hingeben *doppelräusper* und fragen wo ich das sehe ob Enterprise oder nicht.
Danke
EDIT:
Jop ist eine Enterprise. Somit werd ich am Nachmittag zum Testen anfangen.
danke einstweilen
Danke für die schnelle Antwort. Jetzt *räusper* muss ich mich der Blöße hingeben *doppelräusper* und fragen wo ich das sehe ob Enterprise oder nicht.
Danke
EDIT:
Jop ist eine Enterprise. Somit werd ich am Nachmittag zum Testen anfangen.
danke einstweilen
Hallo Schorsch
Sodalla jetzt hätte ich das alles versucht einzurichten nur fehlt mir das was.
Denn wenn ich unter "Einstellugen der automatischen...." den Assistenten durchmache zeigt er mir am Ende dass er fertig sei. Nur steht dann Ausgewählte Zert.vorlage und Zert.Stelle
Name Computer
Und sonst nix.
Wo kann/muss ich der GPO sagen, bei wem sie sich das Zert. abholen soll?
Danke
Sodalla jetzt hätte ich das alles versucht einzurichten nur fehlt mir das was.
Denn wenn ich unter "Einstellugen der automatischen...." den Assistenten durchmache zeigt er mir am Ende dass er fertig sei. Nur steht dann Ausgewählte Zert.vorlage und Zert.Stelle
Name Computer
Und sonst nix.
Wo kann/muss ich der GPO sagen, bei wem sie sich das Zert. abholen soll?
Danke
Hallo,
musst du nicht einstellen. Eine Enterprise-CA registriert sich selbstständig im Active Directory. Die findet ein Client daher von ganz alleine.
Was ich noch vergessen habe:
unter "Richtlinien öffentlicher Schlüssel" findest du noch eine Option Einstellungen für die automatische Registrierung. Da musst du natürlich auch noch ein Häkchen setzen, dass er abgelaufene Zertifikate automatisch erneuern soll. Sonst stehst du in 6 Monaten wieder hier...
Und dann einfach ausprobieren.
in der MMC eines Clients (wo du die Zertifkate bisher manuell erneuert hast) siehst du ja, ob er sich ein neues geholt hat. Oder am Server unter Start -> Verwaltung -> Zertifizierungsstelle -> ausgestellte Zertifikate.
Gruß,
Schorsch
musst du nicht einstellen. Eine Enterprise-CA registriert sich selbstständig im Active Directory. Die findet ein Client daher von ganz alleine.
Was ich noch vergessen habe:
unter "Richtlinien öffentlicher Schlüssel" findest du noch eine Option Einstellungen für die automatische Registrierung. Da musst du natürlich auch noch ein Häkchen setzen, dass er abgelaufene Zertifikate automatisch erneuern soll. Sonst stehst du in 6 Monaten wieder hier...
Und dann einfach ausprobieren.
in der MMC eines Clients (wo du die Zertifkate bisher manuell erneuert hast) siehst du ja, ob er sich ein neues geholt hat. Oder am Server unter Start -> Verwaltung -> Zertifizierungsstelle -> ausgestellte Zertifikate.
Gruß,
Schorsch
Morgen
Sodalla hätte mir alles soweit vorbereitet. Starte den Client neu und schau mir dann ob ich der Cert bekommen habe.
MMC->Zertifikate->Computer->Eigene Zertifikate
nur da ist nix drinne.
Naja vielleicht hat die GPO nicht gezogen. Also GPRESULT, da sehe ich dass die GPO eingentlich gezogen hat.
Am CA Server selbst sehe ich dass sich der Client nix abgeholt hat.
Wo setzte ich da an?
Danke
Basser
EDIT:
Ich arbeite noch an dem Ding. Leider noch nix neues. Würde den Thread aber gerne offenlassen.
Danke
EDIT 29.10.2008
Sodalla nach langem herumdoktorn haben wir herausgefunden, dass uns eine andere GPO die Supper versalzen hat. Nun wurde die angepaßt und siehe da plötzlich läuft auch alles.
Wir verwenden nun das V2-Template am CA Server und die Clients holen sich brav vor Ablauf der Frist ein neues Cert. Es kann doch so einfach sein ;)
Sodalla hätte mir alles soweit vorbereitet. Starte den Client neu und schau mir dann ob ich der Cert bekommen habe.
MMC->Zertifikate->Computer->Eigene Zertifikate
nur da ist nix drinne.
Naja vielleicht hat die GPO nicht gezogen. Also GPRESULT, da sehe ich dass die GPO eingentlich gezogen hat.
Am CA Server selbst sehe ich dass sich der Client nix abgeholt hat.
Wo setzte ich da an?
Danke
Basser
EDIT:
Ich arbeite noch an dem Ding. Leider noch nix neues. Würde den Thread aber gerne offenlassen.
Danke
EDIT 29.10.2008
Sodalla nach langem herumdoktorn haben wir herausgefunden, dass uns eine andere GPO die Supper versalzen hat. Nun wurde die angepaßt und siehe da plötzlich läuft auch alles.
Wir verwenden nun das V2-Template am CA Server und die Clients holen sich brav vor Ablauf der Frist ein neues Cert. Es kann doch so einfach sein ;)
