4
AD - Verteilung Zertifikate - AD CS
Hallo zusammen,
ich habe eine kurze Verständnisfrage, weil ich bin gerade bisschen verwirrt bzw. Frage mich, wo ich diese Info herbekomme.
Folgende Situation: wir haben zwei CA Server ein Server ist eine Root CA und ist offline und die andere CA ist aktiv. Anscheinend ist die CA mit dem AD verbunden und alle Clients im Netzwerk vertrauen dieser CA. Wo kann ich die Einstellungen und Konfigurationen dafür sehen?
Ich habe nämlich gesehen, dass komplett frische Geräte bei uns automatisch nach Domain join einige Zertifikate in den Windows Zertifikatsspeicher bekommen. Sowohl in der Stamm- als auch in der Zwischenzertifizierungsstelle, bloß das Problem ist hier werden auch Zertifikate unserer alten PKI Struktur mitgegeben.
Wo kann ich diese alten Zertifikate denn rausnehmen? Weil es ist keine GPO konfiguriert, es muss wirklich auf AD Ebene nach dem Domain join etwas mitgegeben werden.
Vielen Dank schonmal und viele Grüße
ich habe eine kurze Verständnisfrage, weil ich bin gerade bisschen verwirrt bzw. Frage mich, wo ich diese Info herbekomme.
Folgende Situation: wir haben zwei CA Server ein Server ist eine Root CA und ist offline und die andere CA ist aktiv. Anscheinend ist die CA mit dem AD verbunden und alle Clients im Netzwerk vertrauen dieser CA. Wo kann ich die Einstellungen und Konfigurationen dafür sehen?
Ich habe nämlich gesehen, dass komplett frische Geräte bei uns automatisch nach Domain join einige Zertifikate in den Windows Zertifikatsspeicher bekommen. Sowohl in der Stamm- als auch in der Zwischenzertifizierungsstelle, bloß das Problem ist hier werden auch Zertifikate unserer alten PKI Struktur mitgegeben.
Wo kann ich diese alten Zertifikate denn rausnehmen? Weil es ist keine GPO konfiguriert, es muss wirklich auf AD Ebene nach dem Domain join etwas mitgegeben werden.
Vielen Dank schonmal und viele Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 73779050986
Url: https://administrator.de/contentid/73779050986
Printed on: May 5, 2024 at 09:05 o'clock
4 Comments
Latest comment
Doch, es ist auf jeden Fall eine GPO. Der Join macht nichts dergleichen.
Starte auf dem Client nach Join ein elevated command prompt und dort
https://blog.naglis.no/wp-content/uploads/2020/05/PKI88-1024x512.png
Starte auf dem Client nach Join ein elevated command prompt und dort
gpresult /h %temp%\res.html & %temp%\res.htmlhttps://blog.naglis.no/wp-content/uploads/2020/05/PKI88-1024x512.png
Zitat von @DerWoWusste:
Doch, es ist auf jeden Fall eine GPO. Der Join macht nichts dergleichen.
Starte auf dem Client nach Join ein elevated command prompt und dort
https://blog.naglis.no/wp-content/uploads/2020/05/PKI88-1024x512.png
Doch, es ist auf jeden Fall eine GPO. Der Join macht nichts dergleichen.
Starte auf dem Client nach Join ein elevated command prompt und dort
gpresult /h %temp%\res.html & %temp%\res.htmlhttps://blog.naglis.no/wp-content/uploads/2020/05/PKI88-1024x512.png
Mhm also wenn ich mir diesen Bericht generiere bzw. auch mit rsop.msc sehe ich keine Zertifikate unter den Public Key Policies
Nicht im Userbereich, und im Computerbereich auch nicht? Dann muss es ein Skript sein (Startskript oder geplanter Task oder Anmeldeskript). GPOresult danach durchsuchen
Moin,
Gruß,
Dani
Sowohl in der Stamm- als auch in der Zwischenzertifizierungsstelle, bloß das Problem ist hier werden auch Zertifikate unserer alten PKI Struktur mitgegeben.
ich vermute mal die beiden Zertifikate sind über certutil -publish veröffentlicht. Daher schaue mal mit Hilfe von ADSedit einmal nach, ob dem wirklich so ist.Ich habe nämlich gesehen, dass komplett frische Geräte bei uns automatisch nach Domain join einige Zertifikate in den Windows Zertifikatsspeicher bekommen.
In der Regel steht in der MMC in einer Spalte der benutzte Vorlagenamen. Evtl. kannst du darüber mehr herausfinden. Unter Berücksichtigung des letzten Kommentars von @DerWoWusste.Gruß,
Dani
