Windows PKI - Benutzerzertifikate und fehlgeschlagene Anforderungen
Hallo zusammen,
folgende Ausgangssituation:
- Windows PKI aufgesetzt
- es geht um Benutzerzertifikate
- Zertifikatsvorlage "Benutzer" dupliziert, Schlüsselgröße erhöht
- GPO erstellt für das automatische Ausrollen der Zertifikate
Das funktioniert auch so weit ganz prima.
Wir möchten Benutzerzertifikate für VPN nutzen, sollten also auch Benutzer-, keine Computerzertifikate sein. (Vermutlich könnte man dann auch die IPSec-Vorlage nutzen? Das Grundproblem würde aber trotzdem bleiben....).
Das Thema ist nun, wenn ein Benutzer (noch?) keine Mail-Adresse im Active Directory hat. In dem Reiter "Antragstellername" ist per Standard bei "Informationen im alternativen Antragstellernamen einbeziehen" unter anderem "E-Mail-Name" aktiviert.
Wenn also im AD keine Mailadresse hinterlegt ist, ist das Ausstellen eines Zertifikates natürlich nicht möglich, die Anforderung "landet" unter "Fehlgeschlagene Anforderungen".
Mich würde mal interessieren, wie ihr damit umgeht. Eigentlich sollten die Infos im AD gut (bis sehr gut) gepflegt sein, klar, ist aber nicht immer der Fall.
- Die fehlgeschlagenen Anforderungen "ignorieren" - die fortlaufenden Nummern sind "vernichtet" - egal?
- Den "E-Mail-Name"n aus der Vorlage / Antragsteller entfernen - eine gute Idee?
- ich habe auch schon über einen WMI-Filter (erste Recherche dazu war nicht erfolgreich) nachgedacht, so dass die GPO für das Ausrollen der Benutzerzertifikate nicht greift, wenn das e-Mail-Feld im AD leer ist.
Weitere Ideen?
Grüße
Sebastian
folgende Ausgangssituation:
- Windows PKI aufgesetzt
- es geht um Benutzerzertifikate
- Zertifikatsvorlage "Benutzer" dupliziert, Schlüsselgröße erhöht
- GPO erstellt für das automatische Ausrollen der Zertifikate
Das funktioniert auch so weit ganz prima.
Wir möchten Benutzerzertifikate für VPN nutzen, sollten also auch Benutzer-, keine Computerzertifikate sein. (Vermutlich könnte man dann auch die IPSec-Vorlage nutzen? Das Grundproblem würde aber trotzdem bleiben....).
Das Thema ist nun, wenn ein Benutzer (noch?) keine Mail-Adresse im Active Directory hat. In dem Reiter "Antragstellername" ist per Standard bei "Informationen im alternativen Antragstellernamen einbeziehen" unter anderem "E-Mail-Name" aktiviert.
Wenn also im AD keine Mailadresse hinterlegt ist, ist das Ausstellen eines Zertifikates natürlich nicht möglich, die Anforderung "landet" unter "Fehlgeschlagene Anforderungen".
Mich würde mal interessieren, wie ihr damit umgeht. Eigentlich sollten die Infos im AD gut (bis sehr gut) gepflegt sein, klar, ist aber nicht immer der Fall.
- Die fehlgeschlagenen Anforderungen "ignorieren" - die fortlaufenden Nummern sind "vernichtet" - egal?
- Den "E-Mail-Name"n aus der Vorlage / Antragsteller entfernen - eine gute Idee?
- ich habe auch schon über einen WMI-Filter (erste Recherche dazu war nicht erfolgreich) nachgedacht, so dass die GPO für das Ausrollen der Benutzerzertifikate nicht greift, wenn das e-Mail-Feld im AD leer ist.
Weitere Ideen?
Grüße
Sebastian
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 42370438577
Url: https://administrator.de/contentid/42370438577
Ausgedruckt am: 24.11.2024 um 20:11 Uhr
3 Kommentare
Neuester Kommentar
UPN statt E-Mail benutzen ...
Würde auch UPN machen, aber mir stellt sich gerade die Frage: wie lange dauert das bei euch bis der Benutzer am Mailaserver eine Adresse hat, vor allem, warum meldet sich der Benutzer dann schon am System an?
Bei uns erfolgt die Erstellung des Exchange-Postfachs inkl. Mailadresse unmittelbar nach bzw. während der Benutzerstellung.
Das automatische ausrollen / registrieren des Benutzer-Zertifikats erfolgt meines Wissen erst bei der ersten Benutzeranmeldung am System und bis dahin soll auch die Mailadresse schon am Benutzer hängen.
Bei uns erfolgt die Erstellung des Exchange-Postfachs inkl. Mailadresse unmittelbar nach bzw. während der Benutzerstellung.
Das automatische ausrollen / registrieren des Benutzer-Zertifikats erfolgt meines Wissen erst bei der ersten Benutzeranmeldung am System und bis dahin soll auch die Mailadresse schon am Benutzer hängen.