3
Windows PKI - Benutzerzertifikate und fehlgeschlagene Anforderungen
Hallo zusammen,
folgende Ausgangssituation:
- Windows PKI aufgesetzt
- es geht um Benutzerzertifikate
- Zertifikatsvorlage "Benutzer" dupliziert, Schlüsselgröße erhöht
- GPO erstellt für das automatische Ausrollen der Zertifikate
Das funktioniert auch so weit ganz prima.
Wir möchten Benutzerzertifikate für VPN nutzen, sollten also auch Benutzer-, keine Computerzertifikate sein. (Vermutlich könnte man dann auch die IPSec-Vorlage nutzen? Das Grundproblem würde aber trotzdem bleiben....).
Das Thema ist nun, wenn ein Benutzer (noch?) keine Mail-Adresse im Active Directory hat. In dem Reiter "Antragstellername" ist per Standard bei "Informationen im alternativen Antragstellernamen einbeziehen" unter anderem "E-Mail-Name" aktiviert.
Wenn also im AD keine Mailadresse hinterlegt ist, ist das Ausstellen eines Zertifikates natürlich nicht möglich, die Anforderung "landet" unter "Fehlgeschlagene Anforderungen".
Mich würde mal interessieren, wie ihr damit umgeht. Eigentlich sollten die Infos im AD gut (bis sehr gut) gepflegt sein, klar, ist aber nicht immer der Fall.
- Die fehlgeschlagenen Anforderungen "ignorieren" - die fortlaufenden Nummern sind "vernichtet" - egal?
- Den "E-Mail-Name"n aus der Vorlage / Antragsteller entfernen - eine gute Idee?
- ich habe auch schon über einen WMI-Filter (erste Recherche dazu war nicht erfolgreich) nachgedacht, so dass die GPO für das Ausrollen der Benutzerzertifikate nicht greift, wenn das e-Mail-Feld im AD leer ist.
Weitere Ideen?
Grüße
Sebastian
folgende Ausgangssituation:
- Windows PKI aufgesetzt
- es geht um Benutzerzertifikate
- Zertifikatsvorlage "Benutzer" dupliziert, Schlüsselgröße erhöht
- GPO erstellt für das automatische Ausrollen der Zertifikate
Das funktioniert auch so weit ganz prima.
Wir möchten Benutzerzertifikate für VPN nutzen, sollten also auch Benutzer-, keine Computerzertifikate sein. (Vermutlich könnte man dann auch die IPSec-Vorlage nutzen? Das Grundproblem würde aber trotzdem bleiben....).
Das Thema ist nun, wenn ein Benutzer (noch?) keine Mail-Adresse im Active Directory hat. In dem Reiter "Antragstellername" ist per Standard bei "Informationen im alternativen Antragstellernamen einbeziehen" unter anderem "E-Mail-Name" aktiviert.
Wenn also im AD keine Mailadresse hinterlegt ist, ist das Ausstellen eines Zertifikates natürlich nicht möglich, die Anforderung "landet" unter "Fehlgeschlagene Anforderungen".
Mich würde mal interessieren, wie ihr damit umgeht. Eigentlich sollten die Infos im AD gut (bis sehr gut) gepflegt sein, klar, ist aber nicht immer der Fall.
- Die fehlgeschlagenen Anforderungen "ignorieren" - die fortlaufenden Nummern sind "vernichtet" - egal?
- Den "E-Mail-Name"n aus der Vorlage / Antragsteller entfernen - eine gute Idee?
- ich habe auch schon über einen WMI-Filter (erste Recherche dazu war nicht erfolgreich) nachgedacht, so dass die GPO für das Ausrollen der Benutzerzertifikate nicht greift, wenn das e-Mail-Feld im AD leer ist.
Weitere Ideen?
Grüße
Sebastian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 42370438577
Url: https://administrator.de/contentid/42370438577
Printed on: May 3, 2024 at 17:05 o'clock
3 Comments
Latest comment
UPN statt E-Mail benutzen ...
Würde auch UPN machen, aber mir stellt sich gerade die Frage: wie lange dauert das bei euch bis der Benutzer am Mailaserver eine Adresse hat, vor allem, warum meldet sich der Benutzer dann schon am System an?
Bei uns erfolgt die Erstellung des Exchange-Postfachs inkl. Mailadresse unmittelbar nach bzw. während der Benutzerstellung.
Das automatische ausrollen / registrieren des Benutzer-Zertifikats erfolgt meines Wissen erst bei der ersten Benutzeranmeldung am System und bis dahin soll auch die Mailadresse schon am Benutzer hängen.
Bei uns erfolgt die Erstellung des Exchange-Postfachs inkl. Mailadresse unmittelbar nach bzw. während der Benutzerstellung.
Das automatische ausrollen / registrieren des Benutzer-Zertifikats erfolgt meines Wissen erst bei der ersten Benutzeranmeldung am System und bis dahin soll auch die Mailadresse schon am Benutzer hängen.
Hallo zusammen,
vielen Dank für´s Feedback - ich werde dann UPN benutzen.
Da hast du völlig Recht mit, das sollte eigentlich nicht sein - ich habe ja selber schon geschrieben, dass die Attribute möglichst gut gepflegt sein sollten. Es geht um die Sonderfälle. Aber mit dem UPN sind auch die fein
Grüße
Sebastian
vielen Dank für´s Feedback - ich werde dann UPN benutzen.
Zitat von @clSchak:
wie lange dauert das bei euch bis der Benutzer am Mailserver eine Adresse hat, vor allem, warum meldet sich der Benutzer dann schon am System an?
wie lange dauert das bei euch bis der Benutzer am Mailserver eine Adresse hat, vor allem, warum meldet sich der Benutzer dann schon am System an?
Da hast du völlig Recht mit, das sollte eigentlich nicht sein - ich habe ja selber schon geschrieben, dass die Attribute möglichst gut gepflegt sein sollten. Es geht um die Sonderfälle. Aber mit dem UPN sind auch die fein
Grüße
Sebastian
