Windows Server 2012 R2 Zertifizierungsstelle - nach Zertifikatssperrung für gleichen Computer neues Computerzertifikat automatisch erstellen lassen
Hallo Zusammen,
im Einsatz ist eine Microsoft Zertifizierungsstelle unter 2012 R2 in einer AD-Domäne. Diese stellt unter anderem auch Zertifikate zur Server und Clientauthentifizierung aus, also Computerzertifikate.
Nun kam die Situation auf, dass für einen Client das Computerzertifikat gesperrt werden musste - dabei wurde jedoch kein Grund eingetragen.
Daher kann die Zertifikatssperrung nicht mehr rückgängig gemacht werden.
Per Gruppenrichtlinie ist der automatische Zertifikatsrollout aktiv.
Wie ist nun die standardmäßige Vorgehensweise, dass die Zertifizierungsstelle automatisch ein neues Computerzertifikat aus einer bestimmten Zertifikatsvorlage für das selbe Computerkonto erstellt ohne dass man manuell aus dem MMC/SnapIn-Zertifikate oder per InternetExplorer URL https://Zertifizierungsstelle/certsrv ein neues Computerzertifikat anfordert?
Danke im Voraus für Eure Tipss/Hilfe!
Gruß
im Einsatz ist eine Microsoft Zertifizierungsstelle unter 2012 R2 in einer AD-Domäne. Diese stellt unter anderem auch Zertifikate zur Server und Clientauthentifizierung aus, also Computerzertifikate.
Nun kam die Situation auf, dass für einen Client das Computerzertifikat gesperrt werden musste - dabei wurde jedoch kein Grund eingetragen.
Daher kann die Zertifikatssperrung nicht mehr rückgängig gemacht werden.
Per Gruppenrichtlinie ist der automatische Zertifikatsrollout aktiv.
Wie ist nun die standardmäßige Vorgehensweise, dass die Zertifizierungsstelle automatisch ein neues Computerzertifikat aus einer bestimmten Zertifikatsvorlage für das selbe Computerkonto erstellt ohne dass man manuell aus dem MMC/SnapIn-Zertifikate oder per InternetExplorer URL https://Zertifizierungsstelle/certsrv ein neues Computerzertifikat anfordert?
Danke im Voraus für Eure Tipss/Hilfe!
Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 358816
Url: https://administrator.de/forum/windows-server-2012-r2-zertifizierungsstelle-nach-zertifikatssperrung-fuer-gleichen-computer-neues-358816.html
Ausgedruckt am: 22.12.2024 um 20:12 Uhr
8 Kommentare
Neuester Kommentar
Should be done automatically if configured correctly.
Have a look at
https://social.technet.microsoft.com/Forums/sharepoint/en-US/01a76d97-47 ...
You should check if the CRL cache on the client is up to date.
Best regards
Tom
Have a look at
https://social.technet.microsoft.com/Forums/sharepoint/en-US/01a76d97-47 ...
You should check if the CRL cache on the client is up to date.
Best regards
Tom
That's not my fault the link is working but their servers are DOWN at this moment!
But you can also read it here
https://blog.css-security.com/blog/certificate-auto-enrollment-issuance
https://blog.css-security.com/blog/certificate-auto-enrollment-issuance
If the current certificate is revoked, then the client will try to get a new certificate at the next available period once it realizes the certificate has been revoked.
In a normal environment, the auto-enroll will start happening within minutes. Most environments are not normal. Replication has to take place and the GPO has to update. Client machines will then try to update on a periodic basis. The period is around every 8 hours unless changed by policy.
Hallo,
Der Client muss wissen, das das Zertifikat zurückgezogen wurde. Zertifizierungsstelle funktioniert, Veröffentlichungspunkte sind existent....
Kann er das aus irgendeinem Grund nicht prüfen so wird er kein neues Zertifikat anfordern, da er ja schon eins hat. In diesem Fall kann man das alte löschen, was z.b. per powershellskript möglich ist. Dann fordert er wegen des fehlenden Zertifikats ein neues an. Was dann aber nur geht, wenn der Client ohne Zertifikat auf den Server zugreifen kann.
Grüße
lcer
Der Client muss wissen, das das Zertifikat zurückgezogen wurde. Zertifizierungsstelle funktioniert, Veröffentlichungspunkte sind existent....
Kann er das aus irgendeinem Grund nicht prüfen so wird er kein neues Zertifikat anfordern, da er ja schon eins hat. In diesem Fall kann man das alte löschen, was z.b. per powershellskript möglich ist. Dann fordert er wegen des fehlenden Zertifikats ein neues an. Was dann aber nur geht, wenn der Client ohne Zertifikat auf den Server zugreifen kann.
Grüße
lcer
Na, ja - Aufgabe der Zertifizierungsstelle ist es, Zertifikate auszustellen oder zu erneuern und zu widerrufen - sonst nichts. Ob die Zertifizierungsstelle ein Zertifikat ausstellen darf, wird in der Zertifikatvorlage festgelegt. Wenn der Computer kein Zertifikat bekommen soll, darf er eben nicht in einer der Sicherheitsgruppen sein, die eins bekommen würden.
Unberechtigten Zugriff auf die Zertifizierungsstelle oder deren Server kann man unterbinden. Z.B. mit Netzwerkrichtlinenserver, was letztlich auch per Sicherheitsgruppen geht. Du kannst auch per 802.1X am Switch oder VPN absichern - aber eben auch über Sicherheitsgruppenmitgliedschaften.
Global geht das auch einfach dadurch, dass per GPO digitale Signaturen erzwungen werden. siehe https://msdn.microsoft.com/de-de/library/jj852239(v=ws.11).aspx Dann hast Du aber das Problem, dass ein neuer PC ohne Zertifikat nie eins bekommen kann ....
Im Prinzip ist es so: Zertifikate sind zum Authentifizieren da. Was Du mit der daraus resultierenden Info (Authentifiziert oder nicht authentifiziert) machst ist Aufgabe anderer Mechanismen.
Du könntest ja deinen gestohlenen Laptop bei Zufgriff auf dein Netzwerk per Zertifikat sicher Authentifizieren, bevor Du ihn zwingst, seine Selbstzertörungsroutine auszuführen, nicht dass das Skript auf dem falschen PC gestartet wird.
Grüße
lcer
Unberechtigten Zugriff auf die Zertifizierungsstelle oder deren Server kann man unterbinden. Z.B. mit Netzwerkrichtlinenserver, was letztlich auch per Sicherheitsgruppen geht. Du kannst auch per 802.1X am Switch oder VPN absichern - aber eben auch über Sicherheitsgruppenmitgliedschaften.
Global geht das auch einfach dadurch, dass per GPO digitale Signaturen erzwungen werden. siehe https://msdn.microsoft.com/de-de/library/jj852239(v=ws.11).aspx Dann hast Du aber das Problem, dass ein neuer PC ohne Zertifikat nie eins bekommen kann ....
Im Prinzip ist es so: Zertifikate sind zum Authentifizieren da. Was Du mit der daraus resultierenden Info (Authentifiziert oder nicht authentifiziert) machst ist Aufgabe anderer Mechanismen.
Du könntest ja deinen gestohlenen Laptop bei Zufgriff auf dein Netzwerk per Zertifikat sicher Authentifizieren, bevor Du ihn zwingst, seine Selbstzertörungsroutine auszuführen, nicht dass das Skript auf dem falschen PC gestartet wird.
Grüße
lcer
Moin,
Gruß,
Dani
Wenn der Client dann automatisch ein neues Zertifikat anfordert, wenn dies fehlt, wie kann dann sichergestellt werden, dass ein z.B. gestohlener Rechner (Notebook), kein neues Zertifikat mehr erhält?
dazu müsste der Rechner/Notebook im eurerem Netzwerk sein. Ich kann mir nicht vorstellen, dass du deine Zertifizierungsstelle im Internet veröffentlicht hast. Unabhängig davon werden bei Diebstahl neben den Zertifikaten auch die Computerkonten gesperrt. Zusätzlich die Passwörter der Benutzer/Administratoren geändert, welche evtl. auf dem Notebook die letzten 90 Tage angemeldet waren.Wie ist nun die standardmäßige Vorgehensweise, dass die Zertifizierungsstelle automatisch ein neues Computerzertifikat aus einer bestimmten Zertifikatsvorlage für das selbe Computerkonto erstellt
Wenn du AutoEnrollment über die Gruppenrichtlinien konfiguriert hast, gibst du eigentlich ein Template an. Sobald du auf dem Client das Zertifikat löscht und neu startest, wird danach ein neues Zertifikat ausgestellt. Solltest du an dem Client ein anderes Template nutzen, bleibt nur der manuelle Eingriff übrig.Gruß,
Dani