Windows Server 2012 R2 Zertifizierungsstelle - nach Zertifikatssperrung für gleichen Computer neues Computerzertifikat automatisch erstellen lassen

Hallo Zusammen,

im Einsatz ist eine Microsoft Zertifizierungsstelle unter 2012 R2 in einer AD-Domäne. Diese stellt unter anderem auch Zertifikate zur Server und Clientauthentifizierung aus, also Computerzertifikate.

Nun kam die Situation auf, dass für einen Client das Computerzertifikat gesperrt werden musste - dabei wurde jedoch kein Grund eingetragen.
Daher kann die Zertifikatssperrung nicht mehr rückgängig gemacht werden.

Per Gruppenrichtlinie ist der automatische Zertifikatsrollout aktiv.

Wie ist nun die standardmäßige Vorgehensweise, dass die Zertifizierungsstelle automatisch ein neues Computerzertifikat aus einer bestimmten Zertifikatsvorlage für das selbe Computerkonto erstellt ohne dass man manuell aus dem MMC/SnapIn-Zertifikate oder per InternetExplorer URL https://Zertifizierungsstelle/certsrv ein neues Computerzertifikat anfordert?

Danke im Voraus für Eure Tipss/Hilfe!

Gruß

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 358816

Url: https://administrator.de/contentid/358816

Ausgedruckt am: 22.11.2024 um 07:11 Uhr

8 Kommentare

Neuester Kommentar

Should be done automatically if configured correctly.
Have a look at
https://social.technet.microsoft.com/Forums/sharepoint/en-US/01a76d97-47 ...
You should check if the CRL cache on the client is up to date.

Best regards
Tom

Der Link funktioniert leider nicht. Bitte einen funktionierenden Link post.

Hat jemand noch weitere Informationen zu dieser Thematik?

Zitat von @Excaliburx:

Der Link funktioniert leider nicht. Bitte einen funktionierenden Link post.

That's not my fault the link is working but their servers are DOWN at this moment!

But you can also read it here
https://blog.css-security.com/blog/certificate-auto-enrollment-issuance

If the current certificate is revoked, then the client will try to get a new certificate at the next available period once it realizes the certificate has been revoked.

In a normal environment, the auto-enroll will start happening within minutes. Most environments are not normal. Replication has to take place and the GPO has to update. Client machines will then try to update on a periodic basis. The period is around every 8 hours unless changed by policy.

Hallo,

Der Client muss wissen, das das Zertifikat zurückgezogen wurde. Zertifizierungsstelle funktioniert, Veröffentlichungspunkte sind existent....

Kann er das aus irgendeinem Grund nicht prüfen so wird er kein neues Zertifikat anfordern, da er ja schon eins hat. In diesem Fall kann man das alte löschen, was z.b. per powershellskript möglich ist. Dann fordert er wegen des fehlenden Zertifikats ein neues an. Was dann aber nur geht, wenn der Client ohne Zertifikat auf den Server zugreifen kann.

Grüße

lcer

Wenn der Client dann automatisch ein neues Zertifikat anfordert, wenn dies fehlt, wie kann dann sichergestellt werden, dass ein z.B. gestohlener Rechner (Notebook), kein neues Zertifikat mehr erhält?

Gibt es für eine solche Situation dann nur die Lösung das Computerkonto im AD zu deaktivieren oder auch in der Zertifizierungsstelle eine Funktion?

Na, ja - Aufgabe der Zertifizierungsstelle ist es, Zertifikate auszustellen oder zu erneuern und zu widerrufen - sonst nichts. Ob die Zertifizierungsstelle ein Zertifikat ausstellen darf, wird in der Zertifikatvorlage festgelegt. Wenn der Computer kein Zertifikat bekommen soll, darf er eben nicht in einer der Sicherheitsgruppen sein, die eins bekommen würden.

Unberechtigten Zugriff auf die Zertifizierungsstelle oder deren Server kann man unterbinden. Z.B. mit Netzwerkrichtlinenserver, was letztlich auch per Sicherheitsgruppen geht. Du kannst auch per 802.1X am Switch oder VPN absichern - aber eben auch über Sicherheitsgruppenmitgliedschaften.

Global geht das auch einfach dadurch, dass per GPO digitale Signaturen erzwungen werden. siehe https://msdn.microsoft.com/de-de/library/jj852239(v=ws.11).aspx Dann hast Du aber das Problem, dass ein neuer PC ohne Zertifikat nie eins bekommen kann ....

Im Prinzip ist es so: Zertifikate sind zum Authentifizieren da. Was Du mit der daraus resultierenden Info (Authentifiziert oder nicht authentifiziert) machst ist Aufgabe anderer Mechanismen.

Du könntest ja deinen gestohlenen Laptop bei Zufgriff auf dein Netzwerk per Zertifikat sicher Authentifizieren, bevor Du ihn zwingst, seine Selbstzertörungsroutine auszuführen, nicht dass das Skript auf dem falschen PC gestartet wird.

Grüße

lcer

Moin,

dazu müsste der Rechner/Notebook im eurerem Netzwerk sein. Ich kann mir nicht vorstellen, dass du deine Zertifizierungsstelle im Internet veröffentlicht hast. Unabhängig davon werden bei Diebstahl neben den Zertifikaten auch die Computerkonten gesperrt. Zusätzlich die Passwörter der Benutzer/Administratoren geändert, welche evtl. auf dem Notebook die letzten 90 Tage angemeldet waren.

Wie ist nun die standardmäßige Vorgehensweise, dass die Zertifizierungsstelle automatisch ein neues Computerzertifikat aus einer bestimmten Zertifikatsvorlage für das selbe Computerkonto erstellt

Wenn du AutoEnrollment über die Gruppenrichtlinien konfiguriert hast, gibst du eigentlich ein Template an. Sobald du auf dem Client das Zertifikat löscht und neu startest, wird danach ein neues Zertifikat ausgestellt. Solltest du an dem Client ein anderes Template nutzen, bleibt nur der manuelle Eingriff übrig.

Gruß,
Dani

gelöst Frage Microsoft Windows Server

Mehr von Excaliburx

Active Directory 2016: Delegierte Berechtigung Computer anlegen - Button wird in mmc ADUC nicht angezeigtExcaliburx - 1 Kommentar

Active Directory 2016 - Delegierung von Berechtigungen einrichten - Infos, Tools benötigtExcaliburx - 3 Kommentare

Active Directory - Anpassung von msdsmachineaccountquota - was ist zu beachten?Excaliburx - 1 Kommentar

Active Directory (auf Windows Server 2016) - Disasterplanung - Notfallwiederherstellung - relevanter SituationenExcaliburx - 9 Kommentare

Heiß diskutiert