Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zertifikat Autoenrollment

Mitglied: fluluk

fluluk (Level 1) - Jetzt verbinden

05.09.2018 um 11:06 Uhr, 1507 Aufrufe, 5 Kommentare

Hallo,

ich habe ein Problem beim ausrollen von Zertifikaten an User.
Im Einsatz habe ich eine zweistufige PKI, bei dem ich eine Offline Root CA habe und eine Enterprise PKI mit dem ich die Zertifikate verteile.
Ich habe mir eine Vorlage erstellt, für Zertifikate, mit denen ich lediglich Signieren kann.
Dabei habe ich folgende Einstellungen gewählt:

- Validity period: 1 years
- Purpose: Signature
- Publish Certificate in AD
- Do not automatically reenroll if a duplicate certificate exists in AD
- Compatibility Mode: CA: Server 2016, CR: Windows 10
- Source of subject Name: built from Information in AD (include E-Mail Name)
- Security Settings:
- Authenticated user: Read
- Domain Admins: Read, Write, Enroll
- Domain Users: Enroll
- Enterprise Admins: Read, Write, Enroll
- Extra Gruppe (PKI-User-SignOnly): Read, Enroll, Autoenroll

Im AD habe ich eine GPO erstellt für Autoenroll und den Usern zugewiesen.
An sich erhalte ich auch das Personal Certificate mit meinem User am ersten PC an dem ich mich anmelde. Melde ich mich nun jedoch an einem anderen PC an, erhalte ich es nicht. Das selbe gilt dafür, wenn mein Zertifikat abläuft, dass wird dann nicht erneuert.

Ich verstehe nicht ganz woran es liegen kann?!
Das ich bei den Security Einstellungen bei Domain Users nur Enroll und in der Extra Gruppe Autoenroll konfiguriert habe ist doch nicht das Problem oder?

hatte sonst schon jemand das Phänomen?

gruß
fluluk
Mitglied: Dani
08.09.2018 um 11:26 Uhr
Moin,
Das selbe gilt dafür, wenn mein Zertifikat abläuft, dass wird dann nicht erneuert.
Dafür ist eine Gruppenrichtlinie notwendig - siehe hier.

Melde ich mich nun jedoch an einem anderen PC an, erhalte ich es nicht.
Servergespeicherte Profile im Einsatz?


Gruß,
Dani
Bitte warten ..
Mitglied: fluluk
12.09.2018 um 11:03 Uhr
hi,

Zitat von Dani:
Dafür ist eine Gruppenrichtlinie notwendig - siehe hier.
Certificate Autoenrollment ist aktiviert und auf alle User angewandt. An dem ersten PC bei dem ich mich anmelde, erhalte ich ja auch ein Zertifikat.
An jedem weiteren PC erhalte ich das Zertifikat in meinem Profil nicht mehr.

ich habe allerdings den Haken "Do not automatically reenroll if a duplicate certificate exists in Active Directory" gesetzt.

Ich verstehe das allerdings so, dass damit nicht für jeden PC wechsel ein neues Zertifikat ausgestellt wird.

Servergespeicherte Profile im Einsatz?
Servergespeicherte Profile sind nicht im Einsatz.

gruß
fluluk
Bitte warten ..
Mitglied: Dani
12.09.2018 um 11:30 Uhr
Moin fluluk,
Servergespeicherte Profile sind nicht im Einsatz.
ich bin aus der Praxis schon ein paar Jahre weg, aber ohne dies wird es nicht funktionieren. Probier es einfach mit einem Testbenutzer bei Gelegenheit aus.


Gruß,
Dani
Bitte warten ..
Mitglied: fluluk
12.09.2018 um 11:59 Uhr
Zitat von Dani:
ich bin aus der Praxis schon ein paar Jahre weg, aber ohne dies wird es nicht funktionieren. Probier es einfach mit einem Testbenutzer bei Gelegenheit aus.

Zertifikate an verschiedenen Arbeitsplätzen funktionieren nur mit Servergespeicherten Profilen?
ich bin davon ausgegangen der User zieht sich sein Zertifikat von der Enterprise PKI auch ohne Servergespeichertes Profil.

naja, ich werde das mal Testen.

gruß
fluluk
Bitte warten ..
Mitglied: Dani
13.09.2018 um 19:41 Uhr
Moin,
ich bin davon ausgegangen der User zieht sich sein Zertifikat von der Enterprise PKI auch ohne Servergespeichertes Profil.
wie kommst du drauf bzw. wo has du das gelesen?

Wann fragt der Computer/Benutzer/Webserver eine PKI an? Genau, wenn er ein neues Zertifikat möchte. Der Prozess ist für die PKI abgeschlossen, wenn das Zertifikat mit privaten Schlüssel ausgehändigt wurde. Danach werden eigentlich nur Sperrlisten oder das Zertifkat der PKI abgefragt.

Schau mal im Benutzerobjekt vom Active Directory, ob dort das Zertifikat sichtbar ist. Der Reiter müsste Veröffentlichte Zertifikate heißen.


Gruß,
Dani
Bitte warten ..
Ähnliche Inhalte
SAN, NAS, DAS
Synology Zertifikat
Frage von adrian138SAN, NAS, DAS5 Kommentare

Hallo zusammen, Wir haben einige Synos im Einsatz ca. 7stk. bei jedem Browserzugriff kommt die nervige "Diese Seite ist ...

Exchange Server
Zertifikat Sicherheitshinweis
Frage von sk7519Exchange Server13 Kommentare

Hallo zusammen, ich habe aktuell ein Problem mit einer Sicherheitswarnung aufgrund eines abgelaufenen Zertifikats. Am Client ist Outlook 2016 ...

Windows Server
Unifi Zertifikat
Frage von Der.ITlerWindows Server5 Kommentare

Hallo Ihr, Ich habe den Unifi Controller auf einen von 8 Hyper-V Host ( pro Host 128GB RAM) insgesamt ...

Exchange Server

Exchange Server 2013 - Zertifikat gewechselt auf DV Zertifikat - Clients melden Zertifikat fehler

gelöst Frage von BigitalianExchange Server13 Kommentare

Hi all, ich habe eine Frage und zwar habe ich einen Kunden, wo ein Exchange Server 2013 installiert ist. ...

Neue Wissensbeiträge
Voice over IP

Telekom Umstellung von ISDN Anlagenanschluss auf IP-Telefonie

Erfahrungsbericht von NixVerstehen vor 2 TagenVoice over IP6 Kommentare

Hallo zusammen, nachdem nun vor ein paar Tagen die zwangsweise Umstellung von ISDN auf IP-Telefonie problemlos über die Bühne ...

Apple

Apple Special Event vom 10.09.2019: Arcade, TV+, iPad und iPadOS, Watch und iPhone 11

Information von Trontur vor 3 TagenApple2 Kommentare

Hier könnt ihr euch die Keynote von Tim Cook auf dem Apple Special Event vom 10.09.2019 anschauen: September Event ...

LAN, WAN, Wireless

Das RIPE ist quasi endgültig leer was IPv4 angeht

Information von LordGurke vor 11 TagenLAN, WAN, Wireless8 Kommentare

Das RIPE teilt mit, dass sie erwarten, Ende des Jahres keine /22-IPv4-Allocations (1.024 Adressen) mehr vergeben zu können. Dann ...

Verschlüsselung & Zertifikate

Ein besserer Weg zur Delegation of Control für Bitlocker Recoverykeys

Anleitung von DerWoWusste vor 11 TagenVerschlüsselung & Zertifikate

Will man Supportmitarbeitern ermöglichen, Bitlocker-Recoverykeys auszulesen, dann bietet sich eigentlich der Delegation of Control Wizard an. Ich zeige zunächst ...

Heiß diskutierte Inhalte
Hyper-V
Umzug Hyper-V mit VM in anderen Netzwerkabschnitt
gelöst Frage von keine-ahnungHyper-V9 Kommentare

Moin at all, ich habe leider den Freitag verpennt - daher meine obligate Freitagsfrage erst jetzt Ich habe einen ...

Windows 10
Windows 10 ( upgrade per media creator von win7 ) hat keine Systemwiederherstellung
gelöst Frage von knirschkeWindows 108 Kommentare

Hallo ! Habe letztlich mein Win7 auf Win10 aufgepeppt per Media Creator. Ging - obzwar recht spät - ganz ...

Windows Server
Drucker auf dem Terminalserver 2016 via Printserver wird nicht angezeigt
Frage von EchterHansenWindows Server7 Kommentare

Moin Moin, ich habe hier zwei 2016er Terminalserver und einen 2016er Printserver, auf dem ca. 10 RICOH-Drucker Typ 4. ...

Netzwerkgrundlagen
PFSense OPENVPN, kein Zugriff auf WAN
Frage von AK-47.2Netzwerkgrundlagen6 Kommentare

Liebes Forum, ich habe leider weder in diesem Forum noch im Internet eine Lösung zu MEINEM Problem gefunden, oftmals ...