excaliburx
Goto Top

Windows Server 2012 R2 Zertifizierungsstelle - nach Zertifikatssperrung für gleichen Computer neues Computerzertifikat automatisch erstellen lassen

Hallo Zusammen,

im Einsatz ist eine Microsoft Zertifizierungsstelle unter 2012 R2 in einer AD-Domäne. Diese stellt unter anderem auch Zertifikate zur Server und Clientauthentifizierung aus, also Computerzertifikate.

Nun kam die Situation auf, dass für einen Client das Computerzertifikat gesperrt werden musste - dabei wurde jedoch kein Grund eingetragen.
Daher kann die Zertifikatssperrung nicht mehr rückgängig gemacht werden.

Per Gruppenrichtlinie ist der automatische Zertifikatsrollout aktiv.

Wie ist nun die standardmäßige Vorgehensweise, dass die Zertifizierungsstelle automatisch ein neues Computerzertifikat aus einer bestimmten Zertifikatsvorlage für das selbe Computerkonto erstellt ohne dass man manuell aus dem MMC/SnapIn-Zertifikate oder per InternetExplorer URL https://Zertifizierungsstelle/certsrv ein neues Computerzertifikat anfordert?

Danke im Voraus für Eure Tipss/Hilfe!

Gruß

Content-ID: 358816

Url: https://administrator.de/forum/windows-server-2012-r2-zertifizierungsstelle-nach-zertifikatssperrung-fuer-gleichen-computer-neues-358816.html

Ausgedruckt am: 22.12.2024 um 20:12 Uhr

134998
134998 20.12.2017 aktualisiert um 21:47:20 Uhr
Goto Top
Should be done automatically if configured correctly.
Have a look at
https://social.technet.microsoft.com/Forums/sharepoint/en-US/01a76d97-47 ...
You should check if the CRL cache on the client is up to date.

Best regards
Tom
Excaliburx
Excaliburx 20.12.2017 um 22:09:31 Uhr
Goto Top
Der Link funktioniert leider nicht. Bitte einen funktionierenden Link post.

Hat jemand noch weitere Informationen zu dieser Thematik?
134998
134998 20.12.2017 aktualisiert um 22:33:11 Uhr
Goto Top
Zitat von @Excaliburx:

Der Link funktioniert leider nicht. Bitte einen funktionierenden Link post.
That's not my fault the link is working but their servers are DOWN at this moment!
134998
134998 20.12.2017 aktualisiert um 22:34:22 Uhr
Goto Top
But you can also read it here
https://blog.css-security.com/blog/certificate-auto-enrollment-issuance
If the current certificate is revoked, then the client will try to get a new certificate at the next available period once it realizes the certificate has been revoked.

In a normal environment, the auto-enroll will start happening within minutes. Most environments are not normal. Replication has to take place and the GPO has to update. Client machines will then try to update on a periodic basis. The period is around every 8 hours unless changed by policy.
lcer00
lcer00 21.12.2017 um 13:02:32 Uhr
Goto Top
Hallo,

Der Client muss wissen, das das Zertifikat zurückgezogen wurde. Zertifizierungsstelle funktioniert, Veröffentlichungspunkte sind existent....

Kann er das aus irgendeinem Grund nicht prüfen so wird er kein neues Zertifikat anfordern, da er ja schon eins hat. In diesem Fall kann man das alte löschen, was z.b. per powershellskript möglich ist. Dann fordert er wegen des fehlenden Zertifikats ein neues an. Was dann aber nur geht, wenn der Client ohne Zertifikat auf den Server zugreifen kann.

Grüße

lcer
Excaliburx
Excaliburx 21.12.2017 um 23:51:43 Uhr
Goto Top
Wenn der Client dann automatisch ein neues Zertifikat anfordert, wenn dies fehlt, wie kann dann sichergestellt werden, dass ein z.B. gestohlener Rechner (Notebook), kein neues Zertifikat mehr erhält?

Gibt es für eine solche Situation dann nur die Lösung das Computerkonto im AD zu deaktivieren oder auch in der Zertifizierungsstelle eine Funktion?
lcer00
lcer00 22.12.2017 um 08:28:46 Uhr
Goto Top
Na, ja - Aufgabe der Zertifizierungsstelle ist es, Zertifikate auszustellen oder zu erneuern und zu widerrufen - sonst nichts. Ob die Zertifizierungsstelle ein Zertifikat ausstellen darf, wird in der Zertifikatvorlage festgelegt. Wenn der Computer kein Zertifikat bekommen soll, darf er eben nicht in einer der Sicherheitsgruppen sein, die eins bekommen würden.

Unberechtigten Zugriff auf die Zertifizierungsstelle oder deren Server kann man unterbinden. Z.B. mit Netzwerkrichtlinenserver, was letztlich auch per Sicherheitsgruppen geht. Du kannst auch per 802.1X am Switch oder VPN absichern - aber eben auch über Sicherheitsgruppenmitgliedschaften.

Global geht das auch einfach dadurch, dass per GPO digitale Signaturen erzwungen werden. siehe https://msdn.microsoft.com/de-de/library/jj852239(v=ws.11).aspx Dann hast Du aber das Problem, dass ein neuer PC ohne Zertifikat nie eins bekommen kann ....

Im Prinzip ist es so: Zertifikate sind zum Authentifizieren da. Was Du mit der daraus resultierenden Info (Authentifiziert oder nicht authentifiziert) machst ist Aufgabe anderer Mechanismen.

Du könntest ja deinen gestohlenen Laptop bei Zufgriff auf dein Netzwerk per Zertifikat sicher Authentifizieren, bevor Du ihn zwingst, seine Selbstzertörungsroutine auszuführen, nicht dass das Skript auf dem falschen PC gestartet wird. face-smile

Grüße

lcer
Dani
Lösung Dani 26.12.2017 um 12:20:13 Uhr
Goto Top
Moin,
Wenn der Client dann automatisch ein neues Zertifikat anfordert, wenn dies fehlt, wie kann dann sichergestellt werden, dass ein z.B. gestohlener Rechner (Notebook), kein neues Zertifikat mehr erhält?
dazu müsste der Rechner/Notebook im eurerem Netzwerk sein. Ich kann mir nicht vorstellen, dass du deine Zertifizierungsstelle im Internet veröffentlicht hast. Unabhängig davon werden bei Diebstahl neben den Zertifikaten auch die Computerkonten gesperrt. Zusätzlich die Passwörter der Benutzer/Administratoren geändert, welche evtl. auf dem Notebook die letzten 90 Tage angemeldet waren.

Wie ist nun die standardmäßige Vorgehensweise, dass die Zertifizierungsstelle automatisch ein neues Computerzertifikat aus einer bestimmten Zertifikatsvorlage für das selbe Computerkonto erstellt
Wenn du AutoEnrollment über die Gruppenrichtlinien konfiguriert hast, gibst du eigentlich ein Template an. Sobald du auf dem Client das Zertifikat löscht und neu startest, wird danach ein neues Zertifikat ausgestellt. Solltest du an dem Client ein anderes Template nutzen, bleibt nur der manuelle Eingriff übrig.


Gruß,
Dani