Problem mit Zertifikaten - Der Name Ihrer digitalen ID konnte nicht gefunden werden
Hi Community,
Vorwort:
Ich erstelle gerade eine Testumgebung auf VM Maschinen, um mir Kenntnisse über Zertifikatsstellen anzueignen und, wenn es dann mal funktionieren sollte, diese in der Firma produktiv einzusetzen.
Umgebung:
Testserver "sv999" als Domäncontroller mit Active Directory ; Win2003 SP2
Testserver "sv995 mit Exchange 2007 und CA (Zertifikatsstelle) ; Win2003 Enterprise SP2 x64
3x Testclient "ws003", "ws004" und "ws005" ; WinXP SP2
2x Testuser "Test01" und "Test02"
FRAGE:
wenn ich von ws003 mit Test01 an Test2 auf ws004 eine verschlüsselte Mail schicke (nachdem ich für beide im Outlook das Zertifikat abgerufen hab) funktioniert das ganze problemlos. wechselt jetzt allerdings einer der User den Arbeitsplatz (Anmeldung Test01 auf ws005) kann er seine Mails NICHT lesen, auch nicht nach Abrufen des Zertifikats.
Die Fehlermeldung ist: Dieses Element kann nicht geöffnet werden. Der Name ihrer digitalen ID konnte im zugrunde liegenden Sicherheitssystem nicht gefunden werden.
Ich habe im Zertifikatsstellen Snap-In bemerkt, dass jedesmal wenn ein User sein Zertfikat an einem neuen PC anfordert, ein komplett NEUES Zertifikat erstellt wird und ich denke mal genau hier liegt auch der Hase begraben, da die bereits abgeschickten Mails ja auf das "alte" Zertifikat (das auf dem ersten PC) verschlüsselt wurden.
Die genaue Frage daher: WIE kann ich die CA / die Richtlinien so einrichten, das der User immer das GLEICHE Zertifikat erhält?
Wenn ich in der Vorlage nämlich die Option "Do not automaticlly reenroll if a duplicate certificate exists in Active Directory" aktiviere, kann ich auf dem 2ten PC nämlich GAR KEIN Zertifikat mehr anfordern, sondern werde direkt beim Abrufen auf die kommerziellen Zertifikate verwiesen.
Was mache ich falsch? oder gibt es einen anderen Weg?
Außerdem würde mich interessieren warum die Zertifikate nur 2 jahre gültig sind (ich habe im Template 5 Jahre angegeben). Gültigkeit der CA ist 50 Jahre?
meine Vorgehensweis im Anhang
Einrichtung:
Ich habe auf sv995 über certtmpl.msc eine Kopie ("UserCert_Test") des "Benutzer"-Zertifikats erstellt und diese über die Sicherheitseinstellungen für alle Domänenbenutzer für "Lesen", "Registrieren" und "Automatisch registrieren" freigegeben.
Anschliesend habe ich die Vorlage in der Zertifikatsstelle über Zertifikatvorlagen -> Neu -> Auszustellende Zertifikatvorlage -> UserCert_Test in die CA eingebunden.
auf sv999 habe ich dann im AD die Eigenschaften der Standarddomänenrichtlinie geöffnet und dort unter Benutzerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien öffentlicher Schlüssel -> Einstellungen für die automatische Registrierung "Zertifikate automatisch registrieren" ausgewählt, ebenso die 2 Unterpunkte (Automatische Erneuerung und Löschung, sowie Zertifikatsaktualisierung).
nun bekommen meine Clients die Zertifikate automatisch verteilt und ich muss nicht mehr (wie ansonsten notwendig) bei jedem einzelnen Client über https://sv995/certsrv ein eigenes Userzertifikat anfordern. Die Einstellung im Outlook muss ich natürlich trotzdem noch vornehmen. (Benutzer fügt im Outlook sein Zertifikat hinzu, um verschlüsselt senden zu können)
Vielen Dank im Vorraus und eine schöne Arbeitswoche
SykesX
Vorwort:
Ich erstelle gerade eine Testumgebung auf VM Maschinen, um mir Kenntnisse über Zertifikatsstellen anzueignen und, wenn es dann mal funktionieren sollte, diese in der Firma produktiv einzusetzen.
Umgebung:
Testserver "sv999" als Domäncontroller mit Active Directory ; Win2003 SP2
Testserver "sv995 mit Exchange 2007 und CA (Zertifikatsstelle) ; Win2003 Enterprise SP2 x64
3x Testclient "ws003", "ws004" und "ws005" ; WinXP SP2
2x Testuser "Test01" und "Test02"
FRAGE:
wenn ich von ws003 mit Test01 an Test2 auf ws004 eine verschlüsselte Mail schicke (nachdem ich für beide im Outlook das Zertifikat abgerufen hab) funktioniert das ganze problemlos. wechselt jetzt allerdings einer der User den Arbeitsplatz (Anmeldung Test01 auf ws005) kann er seine Mails NICHT lesen, auch nicht nach Abrufen des Zertifikats.
Die Fehlermeldung ist: Dieses Element kann nicht geöffnet werden. Der Name ihrer digitalen ID konnte im zugrunde liegenden Sicherheitssystem nicht gefunden werden.
Ich habe im Zertifikatsstellen Snap-In bemerkt, dass jedesmal wenn ein User sein Zertfikat an einem neuen PC anfordert, ein komplett NEUES Zertifikat erstellt wird und ich denke mal genau hier liegt auch der Hase begraben, da die bereits abgeschickten Mails ja auf das "alte" Zertifikat (das auf dem ersten PC) verschlüsselt wurden.
Die genaue Frage daher: WIE kann ich die CA / die Richtlinien so einrichten, das der User immer das GLEICHE Zertifikat erhält?
Wenn ich in der Vorlage nämlich die Option "Do not automaticlly reenroll if a duplicate certificate exists in Active Directory" aktiviere, kann ich auf dem 2ten PC nämlich GAR KEIN Zertifikat mehr anfordern, sondern werde direkt beim Abrufen auf die kommerziellen Zertifikate verwiesen.
Was mache ich falsch? oder gibt es einen anderen Weg?
Außerdem würde mich interessieren warum die Zertifikate nur 2 jahre gültig sind (ich habe im Template 5 Jahre angegeben). Gültigkeit der CA ist 50 Jahre?
meine Vorgehensweis im Anhang
Einrichtung:
Ich habe auf sv995 über certtmpl.msc eine Kopie ("UserCert_Test") des "Benutzer"-Zertifikats erstellt und diese über die Sicherheitseinstellungen für alle Domänenbenutzer für "Lesen", "Registrieren" und "Automatisch registrieren" freigegeben.
Anschliesend habe ich die Vorlage in der Zertifikatsstelle über Zertifikatvorlagen -> Neu -> Auszustellende Zertifikatvorlage -> UserCert_Test in die CA eingebunden.
auf sv999 habe ich dann im AD die Eigenschaften der Standarddomänenrichtlinie geöffnet und dort unter Benutzerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien öffentlicher Schlüssel -> Einstellungen für die automatische Registrierung "Zertifikate automatisch registrieren" ausgewählt, ebenso die 2 Unterpunkte (Automatische Erneuerung und Löschung, sowie Zertifikatsaktualisierung).
nun bekommen meine Clients die Zertifikate automatisch verteilt und ich muss nicht mehr (wie ansonsten notwendig) bei jedem einzelnen Client über https://sv995/certsrv ein eigenes Userzertifikat anfordern. Die Einstellung im Outlook muss ich natürlich trotzdem noch vornehmen. (Benutzer fügt im Outlook sein Zertifikat hinzu, um verschlüsselt senden zu können)
Vielen Dank im Vorraus und eine schöne Arbeitswoche
SykesX
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 123866
Url: https://administrator.de/contentid/123866
Ausgedruckt am: 20.11.2024 um 16:11 Uhr