Zertifikat Autoenrollment
Hallo,
ich habe ein Problem beim ausrollen von Zertifikaten an User.
Im Einsatz habe ich eine zweistufige PKI, bei dem ich eine Offline Root CA habe und eine Enterprise PKI mit dem ich die Zertifikate verteile.
Ich habe mir eine Vorlage erstellt, für Zertifikate, mit denen ich lediglich Signieren kann.
Dabei habe ich folgende Einstellungen gewählt:
- Validity period: 1 years
- Purpose: Signature
- Publish Certificate in AD
- Do not automatically reenroll if a duplicate certificate exists in AD
- Compatibility Mode: CA: Server 2016, CR: Windows 10
- Source of subject Name: built from Information in AD (include E-Mail Name)
- Security Settings:
- Authenticated user: Read
- Domain Admins: Read, Write, Enroll
- Domain Users: Enroll
- Enterprise Admins: Read, Write, Enroll
- Extra Gruppe (PKI-User-SignOnly): Read, Enroll, Autoenroll
Im AD habe ich eine GPO erstellt für Autoenroll und den Usern zugewiesen.
An sich erhalte ich auch das Personal Certificate mit meinem User am ersten PC an dem ich mich anmelde. Melde ich mich nun jedoch an einem anderen PC an, erhalte ich es nicht. Das selbe gilt dafür, wenn mein Zertifikat abläuft, dass wird dann nicht erneuert.
Ich verstehe nicht ganz woran es liegen kann?!
Das ich bei den Security Einstellungen bei Domain Users nur Enroll und in der Extra Gruppe Autoenroll konfiguriert habe ist doch nicht das Problem oder?
hatte sonst schon jemand das Phänomen?
gruß
fluluk
ich habe ein Problem beim ausrollen von Zertifikaten an User.
Im Einsatz habe ich eine zweistufige PKI, bei dem ich eine Offline Root CA habe und eine Enterprise PKI mit dem ich die Zertifikate verteile.
Ich habe mir eine Vorlage erstellt, für Zertifikate, mit denen ich lediglich Signieren kann.
Dabei habe ich folgende Einstellungen gewählt:
- Validity period: 1 years
- Purpose: Signature
- Publish Certificate in AD
- Do not automatically reenroll if a duplicate certificate exists in AD
- Compatibility Mode: CA: Server 2016, CR: Windows 10
- Source of subject Name: built from Information in AD (include E-Mail Name)
- Security Settings:
- Authenticated user: Read
- Domain Admins: Read, Write, Enroll
- Domain Users: Enroll
- Enterprise Admins: Read, Write, Enroll
- Extra Gruppe (PKI-User-SignOnly): Read, Enroll, Autoenroll
Im AD habe ich eine GPO erstellt für Autoenroll und den Usern zugewiesen.
An sich erhalte ich auch das Personal Certificate mit meinem User am ersten PC an dem ich mich anmelde. Melde ich mich nun jedoch an einem anderen PC an, erhalte ich es nicht. Das selbe gilt dafür, wenn mein Zertifikat abläuft, dass wird dann nicht erneuert.
Ich verstehe nicht ganz woran es liegen kann?!
Das ich bei den Security Einstellungen bei Domain Users nur Enroll und in der Extra Gruppe Autoenroll konfiguriert habe ist doch nicht das Problem oder?
hatte sonst schon jemand das Phänomen?
gruß
fluluk
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 385495
Url: https://administrator.de/contentid/385495
Ausgedruckt am: 25.11.2024 um 17:11 Uhr
5 Kommentare
Neuester Kommentar
Moin,
Gruß,
Dani
Das selbe gilt dafür, wenn mein Zertifikat abläuft, dass wird dann nicht erneuert.
Dafür ist eine Gruppenrichtlinie notwendig - siehe hier.Melde ich mich nun jedoch an einem anderen PC an, erhalte ich es nicht.
Servergespeicherte Profile im Einsatz?Gruß,
Dani
Moin,
Wann fragt der Computer/Benutzer/Webserver eine PKI an? Genau, wenn er ein neues Zertifikat möchte. Der Prozess ist für die PKI abgeschlossen, wenn das Zertifikat mit privaten Schlüssel ausgehändigt wurde. Danach werden eigentlich nur Sperrlisten oder das Zertifkat der PKI abgefragt.
Schau mal im Benutzerobjekt vom Active Directory, ob dort das Zertifikat sichtbar ist. Der Reiter müsste Veröffentlichte Zertifikate heißen.
Gruß,
Dani
ich bin davon ausgegangen der User zieht sich sein Zertifikat von der Enterprise PKI auch ohne Servergespeichertes Profil.
wie kommst du drauf bzw. wo has du das gelesen?Wann fragt der Computer/Benutzer/Webserver eine PKI an? Genau, wenn er ein neues Zertifikat möchte. Der Prozess ist für die PKI abgeschlossen, wenn das Zertifikat mit privaten Schlüssel ausgehändigt wurde. Danach werden eigentlich nur Sperrlisten oder das Zertifkat der PKI abgefragt.
Schau mal im Benutzerobjekt vom Active Directory, ob dort das Zertifikat sichtbar ist. Der Reiter müsste Veröffentlichte Zertifikate heißen.
Gruß,
Dani