fluluk
Goto Top

Zertifikat Autoenrollment

Hallo,

ich habe ein Problem beim ausrollen von Zertifikaten an User.
Im Einsatz habe ich eine zweistufige PKI, bei dem ich eine Offline Root CA habe und eine Enterprise PKI mit dem ich die Zertifikate verteile.
Ich habe mir eine Vorlage erstellt, für Zertifikate, mit denen ich lediglich Signieren kann.
Dabei habe ich folgende Einstellungen gewählt:

- Validity period: 1 years
- Purpose: Signature
- Publish Certificate in AD
- Do not automatically reenroll if a duplicate certificate exists in AD
- Compatibility Mode: CA: Server 2016, CR: Windows 10
- Source of subject Name: built from Information in AD (include E-Mail Name)
- Security Settings:
- Authenticated user: Read
- Domain Admins: Read, Write, Enroll
- Domain Users: Enroll
- Enterprise Admins: Read, Write, Enroll
- Extra Gruppe (PKI-User-SignOnly): Read, Enroll, Autoenroll

Im AD habe ich eine GPO erstellt für Autoenroll und den Usern zugewiesen.
An sich erhalte ich auch das Personal Certificate mit meinem User am ersten PC an dem ich mich anmelde. Melde ich mich nun jedoch an einem anderen PC an, erhalte ich es nicht. Das selbe gilt dafür, wenn mein Zertifikat abläuft, dass wird dann nicht erneuert.

Ich verstehe nicht ganz woran es liegen kann?!
Das ich bei den Security Einstellungen bei Domain Users nur Enroll und in der Extra Gruppe Autoenroll konfiguriert habe ist doch nicht das Problem oder?

hatte sonst schon jemand das Phänomen?

gruß
fluluk

Content-ID: 385495

Url: https://administrator.de/contentid/385495

Ausgedruckt am: 25.11.2024 um 17:11 Uhr

Dani
Dani 08.09.2018 um 11:26:48 Uhr
Goto Top
Moin,
Das selbe gilt dafür, wenn mein Zertifikat abläuft, dass wird dann nicht erneuert.
Dafür ist eine Gruppenrichtlinie notwendig - siehe hier.

Melde ich mich nun jedoch an einem anderen PC an, erhalte ich es nicht.
Servergespeicherte Profile im Einsatz?


Gruß,
Dani
fluluk
fluluk 12.09.2018 um 11:03:24 Uhr
Goto Top
hi,

Zitat von @Dani:
Dafür ist eine Gruppenrichtlinie notwendig - siehe hier.
Certificate Autoenrollment ist aktiviert und auf alle User angewandt. An dem ersten PC bei dem ich mich anmelde, erhalte ich ja auch ein Zertifikat.
An jedem weiteren PC erhalte ich das Zertifikat in meinem Profil nicht mehr.

ich habe allerdings den Haken "Do not automatically reenroll if a duplicate certificate exists in Active Directory" gesetzt.

Ich verstehe das allerdings so, dass damit nicht für jeden PC wechsel ein neues Zertifikat ausgestellt wird.

Servergespeicherte Profile im Einsatz?
Servergespeicherte Profile sind nicht im Einsatz.

gruß
fluluk
Dani
Dani 12.09.2018 um 11:30:11 Uhr
Goto Top
Moin fluluk,
Servergespeicherte Profile sind nicht im Einsatz.
ich bin aus der Praxis schon ein paar Jahre weg, aber ohne dies wird es nicht funktionieren. Probier es einfach mit einem Testbenutzer bei Gelegenheit aus.


Gruß,
Dani
fluluk
fluluk 12.09.2018 um 11:59:45 Uhr
Goto Top
Zitat von @Dani:
ich bin aus der Praxis schon ein paar Jahre weg, aber ohne dies wird es nicht funktionieren. Probier es einfach mit einem Testbenutzer bei Gelegenheit aus.

Zertifikate an verschiedenen Arbeitsplätzen funktionieren nur mit Servergespeicherten Profilen?
ich bin davon ausgegangen der User zieht sich sein Zertifikat von der Enterprise PKI auch ohne Servergespeichertes Profil.

naja, ich werde das mal Testen.

gruß
fluluk
Dani
Dani 13.09.2018 um 19:41:09 Uhr
Goto Top
Moin,
ich bin davon ausgegangen der User zieht sich sein Zertifikat von der Enterprise PKI auch ohne Servergespeichertes Profil.
wie kommst du drauf bzw. wo has du das gelesen?

Wann fragt der Computer/Benutzer/Webserver eine PKI an? Genau, wenn er ein neues Zertifikat möchte. Der Prozess ist für die PKI abgeschlossen, wenn das Zertifikat mit privaten Schlüssel ausgehändigt wurde. Danach werden eigentlich nur Sperrlisten oder das Zertifkat der PKI abgefragt.

Schau mal im Benutzerobjekt vom Active Directory, ob dort das Zertifikat sichtbar ist. Der Reiter müsste Veröffentlichte Zertifikate heißen.


Gruß,
Dani