Windows CA - Problem beim Autoenrollment
Hallo zusammen,
ich habe ein Problem beim Autoenrollment von User-Zertifikaten unter Windows. Hier erst einmal ein paar Infos, ich gebe gleich einiges an Background Informationen, bevor hier zig-Mal nachgefragt werden muss.
Die PKI ist eine zweistufige mit Root-CA (nicht in der Domäne - offline) und der Issuing CA. Auf diesen läuft Server 2012 R2. Es handelt sich außerdem um Windows 7 Clients.
Die Domäne ist beispielhaft hier abgebildet:
Das Template "DigitaleSignatur" habe ich dupliziert und die Berechtigungen angepasst. D.h. das DomainA\User und DomainB\User folgende Berechtigungen haben: Lesen, Registrieren und Automatisch registrieren. Unter Anforderungsverarbeitung wurde die Option "Benutzer zur Eingabe während der Registrierung auffordern und Benutzereingabe beim Verwenden eines privaten Schlüssels anfordern" ausgewählt.
Sowohl in Domain A als auch B gibt es eine GPO "DigitaleSignaturenUser". Aktiviert ist: Benutzerkonfiguration--> Sicherheitseinstellungen --> Richtlininen für öffentliche Schlüssel --> Zertifikatdienstclient - Einstellung für die automatische Registrierung. Dazu noch einmal ein Screenshot (weil ich nicht so viel Tippen mag
Achja, unter Computerkonfiguration ist außerdem in einer extra GPO die Einstellung Systemkryptographie - starken Schlüsselschutz für auf dem Computer gespeicherte Benutzerschlüssel erzwingen - Bei jeder Verwendung eines Schlüssels Kennwort eingeben. Die GPO zieht auf alle Clients.
Wie oben schon gesagt: Die Root CA ist natürlich nicht in der Domäne und Offline. Die Issuing CA ist in Domain A.
Wenn man sich das Bild oben mit dem beispielhaften Aufbau der Domain ansieht, sieht man, dass ich unter OU_2 drei User habe. In Domain A habe ich die GPO auf diese OU verknüpft und es funktioniert, an jedem Client, wie es soll:
Hat der Benutzer kein Zertifikat, erscheint unten rechts in der Taskleiste das Hinweisfenster/Balloon UI, dass Zertifikate verfügbar sind und registriert werden müssen. Klickt der User darauf, muss er ein Passwort für seinen privaten Key festlegen, erst dann kann er auf Weiter drücken. Kurz gesagt: Er beommt einen Hinweis und kann durch "Weiter Weiter OK - Fertig" ein Zertifikat bekommen. Bei jeder Verwendung des Zertifikats zur digitalen Unterschrift muss er sein Passwort eingeben. So soll es sein und so läuft es in Domain A.
Und jetzt wirds strange:
In Domain B habe ich die GPO auf OU_2 und OU_3. In OU_2 läuft alles wie in Domain A bei User 1 und User 3. Bei User 2 und User 4 kommt kein Hinweis, dass Zertifikate verfügbar sind.
Also habe ich mich auf den PC von User 4 geschalten um zu schauen, wo das Problem liegt: Es kommt kein Hinweisfenster, ich starte also mmc Zertifikat (User) Snap-In. Ich (also der User 4) kann mir hier ein Zertifikat ausstellen lassen und es läuft dann auch alles. Und folgender Unterschied ist mir aufgefallen:
So sieht es aus mit Hinweisfenster, also wie es sein soll (Der Haken ist ausgegraut und aktiv):
Und so hier bei User 4 (Den Haken muss man setzen):
Ich hoffe das war jetzt nicht zu viel. Wenn etwas unklar ist, dann bitte einfach sagen.
Kann mir hier jemand weiterhelfen? Wie kann ich hier den Status auf "force" setzen?
Danke schonmal für Tipps und Eure Hilfe!
VG achtmalacht
ich habe ein Problem beim Autoenrollment von User-Zertifikaten unter Windows. Hier erst einmal ein paar Infos, ich gebe gleich einiges an Background Informationen, bevor hier zig-Mal nachgefragt werden muss.
Die PKI ist eine zweistufige mit Root-CA (nicht in der Domäne - offline) und der Issuing CA. Auf diesen läuft Server 2012 R2. Es handelt sich außerdem um Windows 7 Clients.
Die Domäne ist beispielhaft hier abgebildet:
Das Template "DigitaleSignatur" habe ich dupliziert und die Berechtigungen angepasst. D.h. das DomainA\User und DomainB\User folgende Berechtigungen haben: Lesen, Registrieren und Automatisch registrieren. Unter Anforderungsverarbeitung wurde die Option "Benutzer zur Eingabe während der Registrierung auffordern und Benutzereingabe beim Verwenden eines privaten Schlüssels anfordern" ausgewählt.
Sowohl in Domain A als auch B gibt es eine GPO "DigitaleSignaturenUser". Aktiviert ist: Benutzerkonfiguration--> Sicherheitseinstellungen --> Richtlininen für öffentliche Schlüssel --> Zertifikatdienstclient - Einstellung für die automatische Registrierung. Dazu noch einmal ein Screenshot (weil ich nicht so viel Tippen mag
Achja, unter Computerkonfiguration ist außerdem in einer extra GPO die Einstellung Systemkryptographie - starken Schlüsselschutz für auf dem Computer gespeicherte Benutzerschlüssel erzwingen - Bei jeder Verwendung eines Schlüssels Kennwort eingeben. Die GPO zieht auf alle Clients.
Wie oben schon gesagt: Die Root CA ist natürlich nicht in der Domäne und Offline. Die Issuing CA ist in Domain A.
Wenn man sich das Bild oben mit dem beispielhaften Aufbau der Domain ansieht, sieht man, dass ich unter OU_2 drei User habe. In Domain A habe ich die GPO auf diese OU verknüpft und es funktioniert, an jedem Client, wie es soll:
Hat der Benutzer kein Zertifikat, erscheint unten rechts in der Taskleiste das Hinweisfenster/Balloon UI, dass Zertifikate verfügbar sind und registriert werden müssen. Klickt der User darauf, muss er ein Passwort für seinen privaten Key festlegen, erst dann kann er auf Weiter drücken. Kurz gesagt: Er beommt einen Hinweis und kann durch "Weiter Weiter OK - Fertig" ein Zertifikat bekommen. Bei jeder Verwendung des Zertifikats zur digitalen Unterschrift muss er sein Passwort eingeben. So soll es sein und so läuft es in Domain A.
Und jetzt wirds strange:
In Domain B habe ich die GPO auf OU_2 und OU_3. In OU_2 läuft alles wie in Domain A bei User 1 und User 3. Bei User 2 und User 4 kommt kein Hinweis, dass Zertifikate verfügbar sind.
Also habe ich mich auf den PC von User 4 geschalten um zu schauen, wo das Problem liegt: Es kommt kein Hinweisfenster, ich starte also mmc Zertifikat (User) Snap-In. Ich (also der User 4) kann mir hier ein Zertifikat ausstellen lassen und es läuft dann auch alles. Und folgender Unterschied ist mir aufgefallen:
So sieht es aus mit Hinweisfenster, also wie es sein soll (Der Haken ist ausgegraut und aktiv):
Und so hier bei User 4 (Den Haken muss man setzen):
Ich hoffe das war jetzt nicht zu viel. Wenn etwas unklar ist, dann bitte einfach sagen.
Kann mir hier jemand weiterhelfen? Wie kann ich hier den Status auf "force" setzen?
Danke schonmal für Tipps und Eure Hilfe!
VG achtmalacht
Please also mark the comments that contributed to the solution of the article
Content-Key: 297325
Url: https://administrator.de/contentid/297325
Printed on: April 26, 2024 at 06:04 o'clock
1 Comment