Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Problem mit Zertifikaten - Der Name Ihrer digitalen ID konnte nicht gefunden werden

Frage Microsoft Outlook & Mail

Mitglied: SykesX

SykesX (Level 1) - Jetzt verbinden

31.08.2009, aktualisiert 15:15 Uhr, 18106 Aufrufe

Hi Community,

Vorwort:

Ich erstelle gerade eine Testumgebung auf VM Maschinen, um mir Kenntnisse über Zertifikatsstellen anzueignen und, wenn es dann mal funktionieren sollte, diese in der Firma produktiv einzusetzen.

Umgebung:

Testserver "sv999" als Domäncontroller mit Active Directory ; Win2003 SP2
Testserver "sv995 mit Exchange 2007 und CA (Zertifikatsstelle) ; Win2003 Enterprise SP2 x64
3x Testclient "ws003", "ws004" und "ws005" ; WinXP SP2
2x Testuser "Test01" und "Test02"


FRAGE:

wenn ich von ws003 mit Test01 an Test2 auf ws004 eine verschlüsselte Mail schicke (nachdem ich für beide im Outlook das Zertifikat abgerufen hab) funktioniert das ganze problemlos. wechselt jetzt allerdings einer der User den Arbeitsplatz (Anmeldung Test01 auf ws005) kann er seine Mails NICHT lesen, auch nicht nach Abrufen des Zertifikats.
Die Fehlermeldung ist: Dieses Element kann nicht geöffnet werden. Der Name ihrer digitalen ID konnte im zugrunde liegenden Sicherheitssystem nicht gefunden werden.
Ich habe im Zertifikatsstellen Snap-In bemerkt, dass jedesmal wenn ein User sein Zertfikat an einem neuen PC anfordert, ein komplett NEUES Zertifikat erstellt wird und ich denke mal genau hier liegt auch der Hase begraben, da die bereits abgeschickten Mails ja auf das "alte" Zertifikat (das auf dem ersten PC) verschlüsselt wurden.
Die genaue Frage daher: WIE kann ich die CA / die Richtlinien so einrichten, das der User immer das GLEICHE Zertifikat erhält?
Wenn ich in der Vorlage nämlich die Option "Do not automaticlly reenroll if a duplicate certificate exists in Active Directory" aktiviere, kann ich auf dem 2ten PC nämlich GAR KEIN Zertifikat mehr anfordern, sondern werde direkt beim Abrufen auf die kommerziellen Zertifikate verwiesen.

Was mache ich falsch? oder gibt es einen anderen Weg?

Außerdem würde mich interessieren warum die Zertifikate nur 2 jahre gültig sind (ich habe im Template 5 Jahre angegeben). Gültigkeit der CA ist 50 Jahre?

meine Vorgehensweis im Anhang


Einrichtung:

Ich habe auf sv995 über certtmpl.msc eine Kopie ("UserCert_Test") des "Benutzer"-Zertifikats erstellt und diese über die Sicherheitseinstellungen für alle Domänenbenutzer für "Lesen", "Registrieren" und "Automatisch registrieren" freigegeben.
Anschliesend habe ich die Vorlage in der Zertifikatsstelle über Zertifikatvorlagen -> Neu -> Auszustellende Zertifikatvorlage -> UserCert_Test in die CA eingebunden.

auf sv999 habe ich dann im AD die Eigenschaften der Standarddomänenrichtlinie geöffnet und dort unter Benutzerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien öffentlicher Schlüssel -> Einstellungen für die automatische Registrierung "Zertifikate automatisch registrieren" ausgewählt, ebenso die 2 Unterpunkte (Automatische Erneuerung und Löschung, sowie Zertifikatsaktualisierung).

nun bekommen meine Clients die Zertifikate automatisch verteilt und ich muss nicht mehr (wie ansonsten notwendig) bei jedem einzelnen Client über https://sv995/certsrv ein eigenes Userzertifikat anfordern. Die Einstellung im Outlook muss ich natürlich trotzdem noch vornehmen. (Benutzer fügt im Outlook sein Zertifikat hinzu, um verschlüsselt senden zu können)



Vielen Dank im Vorraus und eine schöne Arbeitswoche

SykesX
Neuester Wissensbeitrag
Off Topic

"Ich habe nichts zu verbergen"

(2)

Erfahrungsbericht von FA-jka zum Thema Off Topic ...

Ähnliche Inhalte
Exchange Server
gelöst MS Exchange-Problem: Servername und Name im Zertifikat stimmen nicht überein (1)

Frage von KLeinstein.tm zum Thema Exchange Server ...

CPU, RAM, Mainboards
Windows 7 Pro: Treiber hat Controllerfehler auf .HDD2. gefunden Ereignis-ID-11 (3)

Frage von default-user zum Thema CPU, RAM, Mainboards ...

Windows Server
Sharepoint Shell Konsole Problem mit "Server-Name" (1)

Frage von tantaliden83 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Linux Netzwerk
gelöst DHCP vergibt keine Adressen (32)

Frage von Maik82 zum Thema Linux Netzwerk ...

Apache Server
gelöst Lets Encrypt SSL mit Apache2 (20)

Frage von banane31 zum Thema Apache Server ...

CPU, RAM, Mainboards
Kaufberatung für mind. 8 verschiedene HighEnd-Mainboards (17)

Frage von yperiu zum Thema CPU, RAM, Mainboards ...