5
Zertifikat Autoenrollment
Hallo,
ich habe ein Problem beim ausrollen von Zertifikaten an User.
Im Einsatz habe ich eine zweistufige PKI, bei dem ich eine Offline Root CA habe und eine Enterprise PKI mit dem ich die Zertifikate verteile.
Ich habe mir eine Vorlage erstellt, für Zertifikate, mit denen ich lediglich Signieren kann.
Dabei habe ich folgende Einstellungen gewählt:
- Validity period: 1 years
- Purpose: Signature
- Publish Certificate in AD
- Do not automatically reenroll if a duplicate certificate exists in AD
- Compatibility Mode: CA: Server 2016, CR: Windows 10
- Source of subject Name: built from Information in AD (include E-Mail Name)
- Security Settings:
- Authenticated user: Read
- Domain Admins: Read, Write, Enroll
- Domain Users: Enroll
- Enterprise Admins: Read, Write, Enroll
- Extra Gruppe (PKI-User-SignOnly): Read, Enroll, Autoenroll
Im AD habe ich eine GPO erstellt für Autoenroll und den Usern zugewiesen.
An sich erhalte ich auch das Personal Certificate mit meinem User am ersten PC an dem ich mich anmelde. Melde ich mich nun jedoch an einem anderen PC an, erhalte ich es nicht. Das selbe gilt dafür, wenn mein Zertifikat abläuft, dass wird dann nicht erneuert.
Ich verstehe nicht ganz woran es liegen kann?!
Das ich bei den Security Einstellungen bei Domain Users nur Enroll und in der Extra Gruppe Autoenroll konfiguriert habe ist doch nicht das Problem oder?
hatte sonst schon jemand das Phänomen?
gruß
fluluk
ich habe ein Problem beim ausrollen von Zertifikaten an User.
Im Einsatz habe ich eine zweistufige PKI, bei dem ich eine Offline Root CA habe und eine Enterprise PKI mit dem ich die Zertifikate verteile.
Ich habe mir eine Vorlage erstellt, für Zertifikate, mit denen ich lediglich Signieren kann.
Dabei habe ich folgende Einstellungen gewählt:
- Validity period: 1 years
- Purpose: Signature
- Publish Certificate in AD
- Do not automatically reenroll if a duplicate certificate exists in AD
- Compatibility Mode: CA: Server 2016, CR: Windows 10
- Source of subject Name: built from Information in AD (include E-Mail Name)
- Security Settings:
- Authenticated user: Read
- Domain Admins: Read, Write, Enroll
- Domain Users: Enroll
- Enterprise Admins: Read, Write, Enroll
- Extra Gruppe (PKI-User-SignOnly): Read, Enroll, Autoenroll
Im AD habe ich eine GPO erstellt für Autoenroll und den Usern zugewiesen.
An sich erhalte ich auch das Personal Certificate mit meinem User am ersten PC an dem ich mich anmelde. Melde ich mich nun jedoch an einem anderen PC an, erhalte ich es nicht. Das selbe gilt dafür, wenn mein Zertifikat abläuft, dass wird dann nicht erneuert.
Ich verstehe nicht ganz woran es liegen kann?!
Das ich bei den Security Einstellungen bei Domain Users nur Enroll und in der Extra Gruppe Autoenroll konfiguriert habe ist doch nicht das Problem oder?
hatte sonst schon jemand das Phänomen?
gruß
fluluk
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 385495
Url: https://administrator.de/contentid/385495
Printed on: April 23, 2024 at 14:04 o'clock
5 Comments
Latest comment
Moin,
Gruß,
Dani
Das selbe gilt dafür, wenn mein Zertifikat abläuft, dass wird dann nicht erneuert.
Dafür ist eine Gruppenrichtlinie notwendig - siehe hier.Melde ich mich nun jedoch an einem anderen PC an, erhalte ich es nicht.
Servergespeicherte Profile im Einsatz?Gruß,
Dani
hi,
Certificate Autoenrollment ist aktiviert und auf alle User angewandt. An dem ersten PC bei dem ich mich anmelde, erhalte ich ja auch ein Zertifikat.
An jedem weiteren PC erhalte ich das Zertifikat in meinem Profil nicht mehr.
ich habe allerdings den Haken "Do not automatically reenroll if a duplicate certificate exists in Active Directory" gesetzt.
Ich verstehe das allerdings so, dass damit nicht für jeden PC wechsel ein neues Zertifikat ausgestellt wird.
gruß
fluluk
Certificate Autoenrollment ist aktiviert und auf alle User angewandt. An dem ersten PC bei dem ich mich anmelde, erhalte ich ja auch ein Zertifikat.
An jedem weiteren PC erhalte ich das Zertifikat in meinem Profil nicht mehr.
ich habe allerdings den Haken "Do not automatically reenroll if a duplicate certificate exists in Active Directory" gesetzt.
Ich verstehe das allerdings so, dass damit nicht für jeden PC wechsel ein neues Zertifikat ausgestellt wird.
Servergespeicherte Profile im Einsatz?
Servergespeicherte Profile sind nicht im Einsatz.gruß
fluluk
Moin fluluk,
Gruß,
Dani
Servergespeicherte Profile sind nicht im Einsatz.
ich bin aus der Praxis schon ein paar Jahre weg, aber ohne dies wird es nicht funktionieren. Probier es einfach mit einem Testbenutzer bei Gelegenheit aus.Gruß,
Dani
Zitat von @Dani:
ich bin aus der Praxis schon ein paar Jahre weg, aber ohne dies wird es nicht funktionieren. Probier es einfach mit einem Testbenutzer bei Gelegenheit aus.
ich bin aus der Praxis schon ein paar Jahre weg, aber ohne dies wird es nicht funktionieren. Probier es einfach mit einem Testbenutzer bei Gelegenheit aus.
Zertifikate an verschiedenen Arbeitsplätzen funktionieren nur mit Servergespeicherten Profilen?
ich bin davon ausgegangen der User zieht sich sein Zertifikat von der Enterprise PKI auch ohne Servergespeichertes Profil.
naja, ich werde das mal Testen.
gruß
fluluk
Moin,
Wann fragt der Computer/Benutzer/Webserver eine PKI an? Genau, wenn er ein neues Zertifikat möchte. Der Prozess ist für die PKI abgeschlossen, wenn das Zertifikat mit privaten Schlüssel ausgehändigt wurde. Danach werden eigentlich nur Sperrlisten oder das Zertifkat der PKI abgefragt.
Schau mal im Benutzerobjekt vom Active Directory, ob dort das Zertifikat sichtbar ist. Der Reiter müsste Veröffentlichte Zertifikate heißen.
Gruß,
Dani
ich bin davon ausgegangen der User zieht sich sein Zertifikat von der Enterprise PKI auch ohne Servergespeichertes Profil.
wie kommst du drauf bzw. wo has du das gelesen?Wann fragt der Computer/Benutzer/Webserver eine PKI an? Genau, wenn er ein neues Zertifikat möchte. Der Prozess ist für die PKI abgeschlossen, wenn das Zertifikat mit privaten Schlüssel ausgehändigt wurde. Danach werden eigentlich nur Sperrlisten oder das Zertifkat der PKI abgefragt.
Schau mal im Benutzerobjekt vom Active Directory, ob dort das Zertifikat sichtbar ist. Der Reiter müsste Veröffentlichte Zertifikate heißen.
Gruß,
Dani
