6
Smart Card (Yubikey) - Zertifikat automatisch erneuern
Für eine Umgebung sollen die Administratoren die Yubikey für die Benutzer einrichten damit sich diese anschliessend an Clients anmelden können. Der Benutzer selber soll sich kein neues Zertifikat erstellen können da dies (bis auf die Erneuerung) durch das Administratoren-Team geschehen soll.
Das klappt soweit auch. Ich habe einen Enrollment Agent und kann die Zertifikate ausrollen. Das ganze habe ich nach der Anleitung von Yubico gemacht: https://support.yubico.com/hc/en-us/articles/360015669119-Setting-up-Sma ...
Ich habe dann noch bei der Zertifikatvorlage für die Smart Card bei Authentifizierter Benutzer noch die Berechtigung auf "Automatische registrierung" gesetzt. (Mit Registrieren habe ich es auch bereits getestet)
Danach habe ich noch die GPO für das Auto Renew gesetzt: https://support.yubico.com/hc/en-us/articles/360015668979-Setting-up-Sma ...
Testweise verwende ich ein Smart Card Zertifikat welches 48 Stunden gültig ist und nach 36 Stunden für die Erneuerung bereit steht.
Nach dem ich mich nun 24 Stunden später wieder mit der Smart Card anmelde, zeigt mir Windows keine Meldung das mein Zertifikat abläuft. Ich werde hier sicher nochmals ein Test mit einem neuen Zertifikat machen da ich die Berechtigung für den Authentifizierten Benutzer erst nachträglich angepasst habe.
Habe ich hier vielleicht noch etwas nicht beachtet?
Das klappt soweit auch. Ich habe einen Enrollment Agent und kann die Zertifikate ausrollen. Das ganze habe ich nach der Anleitung von Yubico gemacht: https://support.yubico.com/hc/en-us/articles/360015669119-Setting-up-Sma ...
Ich habe dann noch bei der Zertifikatvorlage für die Smart Card bei Authentifizierter Benutzer noch die Berechtigung auf "Automatische registrierung" gesetzt. (Mit Registrieren habe ich es auch bereits getestet)
Danach habe ich noch die GPO für das Auto Renew gesetzt: https://support.yubico.com/hc/en-us/articles/360015668979-Setting-up-Sma ...
Testweise verwende ich ein Smart Card Zertifikat welches 48 Stunden gültig ist und nach 36 Stunden für die Erneuerung bereit steht.
Nach dem ich mich nun 24 Stunden später wieder mit der Smart Card anmelde, zeigt mir Windows keine Meldung das mein Zertifikat abläuft. Ich werde hier sicher nochmals ein Test mit einem neuen Zertifikat machen da ich die Berechtigung für den Authentifizierten Benutzer erst nachträglich angepasst habe.
Habe ich hier vielleicht noch etwas nicht beachtet?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2543769885
Url: https://administrator.de/contentid/2543769885
Printed on: April 16, 2024 at 05:04 o'clock
6 Comments
Latest comment
In der Anleitung fehlt für diesen Zweck unter Issuance Requirements das Herabsetzen der Erneuerungsbedingungen auf den Besitz eine gültigen Zertifikats. Wenn die Anforderungen der Erneuerung gleich sind, kann ja nur erneuern, wer als Enrollment Agent signieren kann.
Grüße
Richard
Grüße
Richard
Hallo Richard
Vielen Dank für den Hinweis. Welche Erneuerungsbedingung meinst du hier genau?
Bei der Zertifikatsvorlage habe ich bei der Sicherheit die entsprechende Gruppe mit "Lesen, automatisch registrieren" einfügen. Das einzige was mir gerade noch auffallen würde wäre unter "Ausstellungsvoraussetzungen" den Punkt "Anwendungsrichtlinie" der gerade auf "Zertifikatsanforderungs-Agent" gestellt ist. Falls du diesen Punkt meinst, was wäre hier das benötigte?
Gruss
Koda
Vielen Dank für den Hinweis. Welche Erneuerungsbedingung meinst du hier genau?
Bei der Zertifikatsvorlage habe ich bei der Sicherheit die entsprechende Gruppe mit "Lesen, automatisch registrieren" einfügen. Das einzige was mir gerade noch auffallen würde wäre unter "Ausstellungsvoraussetzungen" den Punkt "Anwendungsrichtlinie" der gerade auf "Zertifikatsanforderungs-Agent" gestellt ist. Falls du diesen Punkt meinst, was wäre hier das benötigte?
Gruss
Koda
In der Anleitung sind die Ausstellungsvoraussetzungen, oder wie es auch auf Deutsch heißen mag, nur so erwähnt:
Auf der Registerkarte ist darunter ein Abschnitt für die Erneuerung. Da jetzt für die Ausstellung die Signatur des Enrollment-Agents erforderlich ist, dürfen für die Erneuerung nicht dieselben Voraussetzungen gelten, sondern ein gültiges Zertifikat muss ausreichen.
On the Issuance Requirements tab, make the following changes, as needed:
Be sure the option is selected for This number of authorized signatures, and enter 1.
For Policy type required in signature, select Application policy.
For Application policy, select Certificate Request Agent.Auf der Registerkarte ist darunter ein Abschnitt für die Erneuerung. Da jetzt für die Ausstellung die Signatur des Enrollment-Agents erforderlich ist, dürfen für die Erneuerung nicht dieselben Voraussetzungen gelten, sondern ein gültiges Zertifikat muss ausreichen.
Danke @c.r.s
Bisher hat er Benutzer noch kein Erneuerungshinweis erhalten.
Die Zertifikatsvorlage hat eine Gültigkeit von drei Tagen und einen Erneuerungszeitraum von 54 Stunden. Die Vorlage wurde mithilfe der Yubico Anleitung erstellt. Zusätzlich habe ich wie oben von dir beschrieben noch die Option "Erneute Registrierung erfordert Folgendes: Gültiges vorhandenes Zertifikat" aktiviert.
Zusätzlich habe ich nach dieser Yubico Anleitung noch GPO angepasst. Hier habe ich noch testweise den Wert für die Ablaufbenachrichtigung auf 90% erhöht.
Hast du vielleicht noch eine Idee?
Bisher hat er Benutzer noch kein Erneuerungshinweis erhalten.
Die Zertifikatsvorlage hat eine Gültigkeit von drei Tagen und einen Erneuerungszeitraum von 54 Stunden. Die Vorlage wurde mithilfe der Yubico Anleitung erstellt. Zusätzlich habe ich wie oben von dir beschrieben noch die Option "Erneute Registrierung erfordert Folgendes: Gültiges vorhandenes Zertifikat" aktiviert.
Zusätzlich habe ich nach dieser Yubico Anleitung noch GPO angepasst. Hier habe ich noch testweise den Wert für die Ablaufbenachrichtigung auf 90% erhöht.
Hast du vielleicht noch eine Idee?
Hm, ich habe momentan auch kein identisches Szenario, sehe aber aus dem Gedächtnis sonst keinen Fehler.
Was ein guter Check wäre: Wenn du die Smartcard einmal weglässt und ein User-Zertifikat in den Software-Store ausrollen lässt (da gibt es auch diverse Anleitungen, falls wir bei denen von Yubico jetzt was übersehen), bekommt das den vorgesehenen Lebenszyklus?
Was ein guter Check wäre: Wenn du die Smartcard einmal weglässt und ein User-Zertifikat in den Software-Store ausrollen lässt (da gibt es auch diverse Anleitungen, falls wir bei denen von Yubico jetzt was übersehen), bekommt das den vorgesehenen Lebenszyklus?
Was ich jetzt mal noch versuche ist unter Sicherheit bei Authentifizierter Benutzer noch das Registrieren zu aktivieren und nicht nur das Automatische registrieren.
So konnte der Benutzer schonmal sein Zertifikat selber erneuern (Natürlich auch ein neues erstellen was nicht sein soll). Aber ich möchte sehen ob hier nun morgen eine Erinnerung von einem abgelaufenen Zertifikat kommt. So kann ich wenigstens ein Berechtigungsproblem ausschliessen.
So konnte der Benutzer schonmal sein Zertifikat selber erneuern (Natürlich auch ein neues erstellen was nicht sein soll). Aber ich möchte sehen ob hier nun morgen eine Erinnerung von einem abgelaufenen Zertifikat kommt. So kann ich wenigstens ein Berechtigungsproblem ausschliessen.