basserbassist
Goto Top

Computerzertifikat mittels GPO ausrollen

Hallo wieder!

Wir verwenden zum Absichern unserer WLAN-Laptops ein Computerzertifkat. Dazu haben wir uns einen 2003 Server hergenommen und dort eine ROOT-CA aufgesetzt. Mittels MMC holen wir für jeden Client ein Zertifiakt ab dass für 6 Monate gültig ist.

Nun muss man wenn das Zert. abgelaufen ist, wieder zu dem Laptop hingehen und mittels MMC....


Meine Frage:

Kann ich dieses Ausrollen über die GPO steuern?
Und wenn ja wie mach ich das am sinnvollsten?

Danke

Content-Key: 82450

Url: https://administrator.de/contentid/82450

Ausgedruckt am: 29.03.2024 um 13:03 Uhr

Mitglied: DerSchorsch
DerSchorsch 06.03.2008 um 10:41:30 Uhr
Goto Top
Hallo,

wenn du ein ActiveDirectory hast, die gewünschten Computer Mitglied davon sind und du deine CA zufälligerweise als "Enterprise CA" aufgesetzt hast, dann ja:

Neue Richtlinie erstellen:
-> Computerkonfiguration
-> Windows-Einstellungen
-> Sicherheitseinstellungen
-> Richtlinien öffentlicher Schlüssel
-> Einstellung der automatischen Zertifikatsanforderung
hier eine neue Anforderungsrichtlinie erstellen, die gewünschte Zertifikatsvorlage auswählen (Computerzertifikat), etc..

Wenn du allerdings eine Standalone-CA hast geht das nicht. Das "autoenrollment" ist einer der Hauptunterschiede zwischen den beiden Varianten.

Gruß,
Schorsch
Mitglied: basserbassist
basserbassist 06.03.2008 um 11:17:25 Uhr
Goto Top
Hallo DerSchorsch

Danke für die schnelle Antwort. Jetzt *räusper* muss ich mich der Blöße hingeben *doppelräusper* und fragen wo ich das sehe ob Enterprise oder nicht.

Danke

EDIT:

Jop ist eine Enterprise. Somit werd ich am Nachmittag zum Testen anfangen.

danke einstweilen
Mitglied: basserbassist
basserbassist 10.03.2008 um 10:16:13 Uhr
Goto Top
Hallo Schorsch

Sodalla jetzt hätte ich das alles versucht einzurichten nur fehlt mir das was.

Denn wenn ich unter "Einstellugen der automatischen...." den Assistenten durchmache zeigt er mir am Ende dass er fertig sei. Nur steht dann Ausgewählte Zert.vorlage und Zert.Stelle

Name Computer

Und sonst nix.

Wo kann/muss ich der GPO sagen, bei wem sie sich das Zert. abholen soll?

Danke
Mitglied: DerSchorsch
DerSchorsch 10.03.2008 um 14:33:26 Uhr
Goto Top
Hallo,

musst du nicht einstellen. Eine Enterprise-CA registriert sich selbstständig im Active Directory. Die findet ein Client daher von ganz alleine.

Was ich noch vergessen habe:
unter "Richtlinien öffentlicher Schlüssel" findest du noch eine Option Einstellungen für die automatische Registrierung. Da musst du natürlich auch noch ein Häkchen setzen, dass er abgelaufene Zertifikate automatisch erneuern soll. Sonst stehst du in 6 Monaten wieder hier...

Und dann einfach ausprobieren.
in der MMC eines Clients (wo du die Zertifkate bisher manuell erneuert hast) siehst du ja, ob er sich ein neues geholt hat. Oder am Server unter Start -> Verwaltung -> Zertifizierungsstelle -> ausgestellte Zertifikate.

Gruß,
Schorsch
Mitglied: basserbassist
basserbassist 14.03.2008 um 07:42:37 Uhr
Goto Top
Morgen

Sodalla hätte mir alles soweit vorbereitet. Starte den Client neu und schau mir dann ob ich der Cert bekommen habe.
MMC->Zertifikate->Computer->Eigene Zertifikate

nur da ist nix drinne.

Naja vielleicht hat die GPO nicht gezogen. Also GPRESULT, da sehe ich dass die GPO eingentlich gezogen hat.

Am CA Server selbst sehe ich dass sich der Client nix abgeholt hat.

Wo setzte ich da an?

Danke

Basser

EDIT:

Ich arbeite noch an dem Ding. Leider noch nix neues. Würde den Thread aber gerne offenlassen.

Danke


EDIT 29.10.2008

Sodalla nach langem herumdoktorn haben wir herausgefunden, dass uns eine andere GPO die Supper versalzen hat. Nun wurde die angepaßt und siehe da plötzlich läuft auch alles.
Wir verwenden nun das V2-Template am CA Server und die Clients holen sich brav vor Ablauf der Frist ein neues Cert. Es kann doch so einfach sein ;)