8
Windows Server 2012 R2 Zertifizierungsstelle - nach Zertifikatssperrung für gleichen Computer neues Computerzertifikat automatisch erstellen lassen
Hallo Zusammen,
im Einsatz ist eine Microsoft Zertifizierungsstelle unter 2012 R2 in einer AD-Domäne. Diese stellt unter anderem auch Zertifikate zur Server und Clientauthentifizierung aus, also Computerzertifikate.
Nun kam die Situation auf, dass für einen Client das Computerzertifikat gesperrt werden musste - dabei wurde jedoch kein Grund eingetragen.
Daher kann die Zertifikatssperrung nicht mehr rückgängig gemacht werden.
Per Gruppenrichtlinie ist der automatische Zertifikatsrollout aktiv.
Wie ist nun die standardmäßige Vorgehensweise, dass die Zertifizierungsstelle automatisch ein neues Computerzertifikat aus einer bestimmten Zertifikatsvorlage für das selbe Computerkonto erstellt ohne dass man manuell aus dem MMC/SnapIn-Zertifikate oder per InternetExplorer URL https://Zertifizierungsstelle/certsrv ein neues Computerzertifikat anfordert?
Danke im Voraus für Eure Tipss/Hilfe!
Gruß
im Einsatz ist eine Microsoft Zertifizierungsstelle unter 2012 R2 in einer AD-Domäne. Diese stellt unter anderem auch Zertifikate zur Server und Clientauthentifizierung aus, also Computerzertifikate.
Nun kam die Situation auf, dass für einen Client das Computerzertifikat gesperrt werden musste - dabei wurde jedoch kein Grund eingetragen.
Daher kann die Zertifikatssperrung nicht mehr rückgängig gemacht werden.
Per Gruppenrichtlinie ist der automatische Zertifikatsrollout aktiv.
Wie ist nun die standardmäßige Vorgehensweise, dass die Zertifizierungsstelle automatisch ein neues Computerzertifikat aus einer bestimmten Zertifikatsvorlage für das selbe Computerkonto erstellt ohne dass man manuell aus dem MMC/SnapIn-Zertifikate oder per InternetExplorer URL https://Zertifizierungsstelle/certsrv ein neues Computerzertifikat anfordert?
Danke im Voraus für Eure Tipss/Hilfe!
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 358816
Url: https://administrator.de/contentid/358816
Printed on: April 16, 2024 at 05:04 o'clock
8 Comments
Latest comment
Should be done automatically if configured correctly.
Have a look at
https://social.technet.microsoft.com/Forums/sharepoint/en-US/01a76d97-47 ...
You should check if the CRL cache on the client is up to date.
Best regards
Tom
Have a look at
https://social.technet.microsoft.com/Forums/sharepoint/en-US/01a76d97-47 ...
You should check if the CRL cache on the client is up to date.
Best regards
Tom
Der Link funktioniert leider nicht. Bitte einen funktionierenden Link post.
Hat jemand noch weitere Informationen zu dieser Thematik?
Hat jemand noch weitere Informationen zu dieser Thematik?
That's not my fault the link is working but their servers are DOWN at this moment!
But you can also read it here
https://blog.css-security.com/blog/certificate-auto-enrollment-issuance
https://blog.css-security.com/blog/certificate-auto-enrollment-issuance
If the current certificate is revoked, then the client will try to get a new certificate at the next available period once it realizes the certificate has been revoked.
In a normal environment, the auto-enroll will start happening within minutes. Most environments are not normal. Replication has to take place and the GPO has to update. Client machines will then try to update on a periodic basis. The period is around every 8 hours unless changed by policy.
Hallo,
Der Client muss wissen, das das Zertifikat zurückgezogen wurde. Zertifizierungsstelle funktioniert, Veröffentlichungspunkte sind existent....
Kann er das aus irgendeinem Grund nicht prüfen so wird er kein neues Zertifikat anfordern, da er ja schon eins hat. In diesem Fall kann man das alte löschen, was z.b. per powershellskript möglich ist. Dann fordert er wegen des fehlenden Zertifikats ein neues an. Was dann aber nur geht, wenn der Client ohne Zertifikat auf den Server zugreifen kann.
Grüße
lcer
Der Client muss wissen, das das Zertifikat zurückgezogen wurde. Zertifizierungsstelle funktioniert, Veröffentlichungspunkte sind existent....
Kann er das aus irgendeinem Grund nicht prüfen so wird er kein neues Zertifikat anfordern, da er ja schon eins hat. In diesem Fall kann man das alte löschen, was z.b. per powershellskript möglich ist. Dann fordert er wegen des fehlenden Zertifikats ein neues an. Was dann aber nur geht, wenn der Client ohne Zertifikat auf den Server zugreifen kann.
Grüße
lcer
Wenn der Client dann automatisch ein neues Zertifikat anfordert, wenn dies fehlt, wie kann dann sichergestellt werden, dass ein z.B. gestohlener Rechner (Notebook), kein neues Zertifikat mehr erhält?
Gibt es für eine solche Situation dann nur die Lösung das Computerkonto im AD zu deaktivieren oder auch in der Zertifizierungsstelle eine Funktion?
Gibt es für eine solche Situation dann nur die Lösung das Computerkonto im AD zu deaktivieren oder auch in der Zertifizierungsstelle eine Funktion?
Na, ja - Aufgabe der Zertifizierungsstelle ist es, Zertifikate auszustellen oder zu erneuern und zu widerrufen - sonst nichts. Ob die Zertifizierungsstelle ein Zertifikat ausstellen darf, wird in der Zertifikatvorlage festgelegt. Wenn der Computer kein Zertifikat bekommen soll, darf er eben nicht in einer der Sicherheitsgruppen sein, die eins bekommen würden.
Unberechtigten Zugriff auf die Zertifizierungsstelle oder deren Server kann man unterbinden. Z.B. mit Netzwerkrichtlinenserver, was letztlich auch per Sicherheitsgruppen geht. Du kannst auch per 802.1X am Switch oder VPN absichern - aber eben auch über Sicherheitsgruppenmitgliedschaften.
Global geht das auch einfach dadurch, dass per GPO digitale Signaturen erzwungen werden. siehe https://msdn.microsoft.com/de-de/library/jj852239(v=ws.11).aspx Dann hast Du aber das Problem, dass ein neuer PC ohne Zertifikat nie eins bekommen kann ....
Im Prinzip ist es so: Zertifikate sind zum Authentifizieren da. Was Du mit der daraus resultierenden Info (Authentifiziert oder nicht authentifiziert) machst ist Aufgabe anderer Mechanismen.
Du könntest ja deinen gestohlenen Laptop bei Zufgriff auf dein Netzwerk per Zertifikat sicher Authentifizieren, bevor Du ihn zwingst, seine Selbstzertörungsroutine auszuführen, nicht dass das Skript auf dem falschen PC gestartet wird.
Grüße
lcer
Unberechtigten Zugriff auf die Zertifizierungsstelle oder deren Server kann man unterbinden. Z.B. mit Netzwerkrichtlinenserver, was letztlich auch per Sicherheitsgruppen geht. Du kannst auch per 802.1X am Switch oder VPN absichern - aber eben auch über Sicherheitsgruppenmitgliedschaften.
Global geht das auch einfach dadurch, dass per GPO digitale Signaturen erzwungen werden. siehe https://msdn.microsoft.com/de-de/library/jj852239(v=ws.11).aspx Dann hast Du aber das Problem, dass ein neuer PC ohne Zertifikat nie eins bekommen kann ....
Im Prinzip ist es so: Zertifikate sind zum Authentifizieren da. Was Du mit der daraus resultierenden Info (Authentifiziert oder nicht authentifiziert) machst ist Aufgabe anderer Mechanismen.
Du könntest ja deinen gestohlenen Laptop bei Zufgriff auf dein Netzwerk per Zertifikat sicher Authentifizieren, bevor Du ihn zwingst, seine Selbstzertörungsroutine auszuführen, nicht dass das Skript auf dem falschen PC gestartet wird.
Grüße
lcer
Moin,
Gruß,
Dani
Wenn der Client dann automatisch ein neues Zertifikat anfordert, wenn dies fehlt, wie kann dann sichergestellt werden, dass ein z.B. gestohlener Rechner (Notebook), kein neues Zertifikat mehr erhält?
dazu müsste der Rechner/Notebook im eurerem Netzwerk sein. Ich kann mir nicht vorstellen, dass du deine Zertifizierungsstelle im Internet veröffentlicht hast. Unabhängig davon werden bei Diebstahl neben den Zertifikaten auch die Computerkonten gesperrt. Zusätzlich die Passwörter der Benutzer/Administratoren geändert, welche evtl. auf dem Notebook die letzten 90 Tage angemeldet waren.Wie ist nun die standardmäßige Vorgehensweise, dass die Zertifizierungsstelle automatisch ein neues Computerzertifikat aus einer bestimmten Zertifikatsvorlage für das selbe Computerkonto erstellt
Wenn du AutoEnrollment über die Gruppenrichtlinien konfiguriert hast, gibst du eigentlich ein Template an. Sobald du auf dem Client das Zertifikat löscht und neu startest, wird danach ein neues Zertifikat ausgestellt. Solltest du an dem Client ein anderes Template nutzen, bleibt nur der manuelle Eingriff übrig.Gruß,
Dani