9
Zertifikatsbenachrichtigung PKI Windows Server 2012R2
Hallo Zusammen,
wir wollen hier eine interne PKI einrichten.
Das Ganze soll auf einem Windows Server 2012R2 in zweistufiger Ausführung geschehen.
Wir werden hier mit Computer-(Client-)Zertifikaten arbeiten.
Es gibt bei uns viele Windows (AD) Clients, allerdings auch einige Unix (Linux, div. Distributionen und Apple) Clients.
Nun zu meiner eigentlichen Frage:
- Welche Möglichkeiten der Benachrichtigung gibt es, wenn ein ausgestelltes Zertifikat abzulaufen droht?
Dies für AD, sowie nicht AD Clients.
Vielen Dank im Voraus
Lars
wir wollen hier eine interne PKI einrichten.
Das Ganze soll auf einem Windows Server 2012R2 in zweistufiger Ausführung geschehen.
Wir werden hier mit Computer-(Client-)Zertifikaten arbeiten.
Es gibt bei uns viele Windows (AD) Clients, allerdings auch einige Unix (Linux, div. Distributionen und Apple) Clients.
Nun zu meiner eigentlichen Frage:
- Welche Möglichkeiten der Benachrichtigung gibt es, wenn ein ausgestelltes Zertifikat abzulaufen droht?
Dies für AD, sowie nicht AD Clients.
Vielen Dank im Voraus
Lars
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 308383
Url: https://administrator.de/contentid/308383
Printed on: April 19, 2024 at 00:04 o'clock
9 Comments
Latest comment
Hi.
When a certificate is going to expire windows will log a message to the eventlog some weeks before the expiration. This could be used for an event trigger and a script which sends a mail or other things.
Also you could make a task wich checks the expiration dates of all active certs.(Powershell for example).
You can also use New-CertificateNotificationTask to create notification tasks for expiring certificates.
But by the way computer certificates are automatically renewed in a domain.
Regards
When a certificate is going to expire windows will log a message to the eventlog some weeks before the expiration. This could be used for an event trigger and a script which sends a mail or other things.
Also you could make a task wich checks the expiration dates of all active certs.(Powershell for example).
You can also use New-CertificateNotificationTask to create notification tasks for expiring certificates.
But by the way computer certificates are automatically renewed in a domain.
Regards
Du kannst die PKI so anpassen, dass Zertifikate automatisch ausgestellt werden. Das haben wir bei uns so gemacht, um eine zertifikatbasierte Autentifizierung zu ermöglichen. Dabei werden alle Zertifikate automatisch erneuert, bevor sie ablaufen (sofern der Rechner mit dem Netz verbunden ist).
Das gilt dann denke ich mal für alle Clients, die ein gültiges Zertifikat besitzen, egal ob Domainmember oder nicht?
Zitat von @Snipes:
Das gilt dann denke ich mal für alle Clients, die ein gültiges Zertifikat besitzen, egal ob Domainmember oder nicht?
Only domain members can profit from auto renewal. Others need to manually request renewal or the new cert has to be pushed to the client.Das gilt dann denke ich mal für alle Clients, die ein gültiges Zertifikat besitzen, egal ob Domainmember oder nicht?
Moin Lars,
Gruß,
Dani
- Welche Möglichkeiten der Benachrichtigung gibt es, wenn ein ausgestelltes Zertifikat abzulaufen droht?
klaro. Wir nutzen dafür als Grundlage dieses Skript.Gruß,
Dani
Zitat von @Dani:
Moin Lars,
Gruß,
Dani
Moin Lars,
- Welche Möglichkeiten der Benachrichtigung gibt es, wenn ein ausgestelltes Zertifikat abzulaufen droht?
klaro. Wir nutzen dafür als Grundlage dieses Skript.Gruß,
Dani
Moin Dani,
dann kann ich ja davon ausgehen, dass ihr schon recht gute Erfahrungen damit gesammelt habt. Auf dieses Skript bin ich während meiner Recherchen auch schon gestoßen.
Verläuft die handhabeung einfach, oder müssen viele Parameter angepasst werden?
Ich denke ich muss dabei ja beispielsweise auch unseren Exchange Server eintragen, damit überhaupt Emails verschickt werden können, oder läuft die Benachrichtigung damit auschließlich lokal auf der CA?
Gruß
Lars
Hallo Lars,
lad das Skript runter, les das Handbuch und probiere es aus. Alles andere bringt dich nicht weiter...
Wir haben inzwischen einige Modifikationen/Erweiterungen vorgenommen.
Gruß,
Dani
lad das Skript runter, les das Handbuch und probiere es aus. Alles andere bringt dich nicht weiter...
Wir haben inzwischen einige Modifikationen/Erweiterungen vorgenommen.
Ich denke ich muss dabei ja beispielsweise auch unseren Exchange Server eintragen
Ja.Gruß,
Dani
Zitat von @Dani:
Hallo Lars,
lad das Skript runter, les das Handbuch und probiere es aus. Alles andere bringt dich nicht weiter...
Wir haben inzwischen einige Modifikationen/Erweiterungen vorgenommen.
Hallo Lars,
lad das Skript runter, les das Handbuch und probiere es aus. Alles andere bringt dich nicht weiter...
Wir haben inzwischen einige Modifikationen/Erweiterungen vorgenommen.
Sobald alles läuft, werde ich das tun!
Ich berichte anschließend über meine gemachten Erfahrungen!
Vielen Dank vorab an alle!
Grüße
Lars
So, nun noch wie versprochen der Bericht:
Das Script arbeitet wunderbar und generiert Berichte, wie man sie sich wünscht.
Es sind ein paar Einstellungen notwendig, teilweise macht der Task-Scheduler Probleme bei der Einrichtung.
Ansonsten wie gesagt ein super Tool, welches den laufenden Betrieb deutlich vereinfacht!
Liebe Grüße!
Das Script arbeitet wunderbar und generiert Berichte, wie man sie sich wünscht.
Es sind ein paar Einstellungen notwendig, teilweise macht der Task-Scheduler Probleme bei der Einrichtung.
Ansonsten wie gesagt ein super Tool, welches den laufenden Betrieb deutlich vereinfacht!
Liebe Grüße!
