Zum Inhalt wechseln


Foto

Zertifikate in AD über DC ausrollen

GPO Active Directory Lerngruppe

  • Bitte melde dich an um zu Antworten
7 Antworten in diesem Thema

#1 theonlybrand

theonlybrand

    Newbie

  • 45 Beiträge

 

Geschrieben 23. Dezember 2016 - 09:14

Hallo zusammen,

 

folgendes Frage stelle ich mir nun schon seit einigen Tagen, komme aber auf keinen grünen Zweig.

Ich habe in meiner PKI eine SubCA separat vom DC erstellt, diese soll über die GPO per Autoenrollment die Zertifikate in der AD verteilen.

 

Frage: Kann ich das Zertifikat von der SubCA auf den DC schieben, damit dieser dann die Zertifikate verteilt? Oder braucht der DC auch die Funktionalitäten einer SubCA?

Danke im Voraus.

 

Frohe Weihnachten und einen guten Rutsch wünscht euch

 

theonlybrand


Linux is like a tipi, no gates, no windows, and an apache inside


#2 NorbertFe

NorbertFe

    Expert Member

  • 30.924 Beiträge

 

Geschrieben 23. Dezember 2016 - 09:19

Kannst du das nochmal so beschreiben, dass man dein Problem versteht?

Make something i***-proof and they will build a better i***.


#3 theonlybrand

theonlybrand

    Newbie

  • 45 Beiträge

 

Geschrieben 23. Dezember 2016 - 09:42

Klar kein Problem Norbert,

 

Ich habe in meiner Testumgebung eine Root-Zertifizierungsstelle und eine untergeordnete Zertifizierungsstelle erstellt. Die RootCA stellt ein Zertifikat an die SubCA aus. Nun möchte ich, dass das Zertifikat der SubCA in unserer AD über die Gruppenrichtlinien ausgerollt wird. SubCA und DC sind auf zwei separaten VM´s installiert.

 

Frage: Kann ich das Zertifikat der SubCA auf den DC übertragen, es dann per Gruppenrichtlinien an die AD User ausrollen?


Linux is like a tipi, no gates, no windows, and an apache inside


#4 testperson

testperson

    Board Veteran

  • 4.645 Beiträge

 

Geschrieben 23. Dezember 2016 - 09:50

Hi,

 

ja, das geht. Du nimmst das SubCA (ohne privaten Schlüssel) und kopierst es auf einen Share. Dann nimmst du die Gruppenrichtlinienverwaltung und nimmst eine vorhandene GPO / erstellst eine neue GPO in der du unter Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinie für öffentliche Schlüssel -> Zwischenzertifizierungsstellen das SubCA importierst.

Ggfs. machst du das dann direkt fürs RootCA auch, allerdings das RootCA dann in Vertrauenswürdige Zertifizierungsstellen importieren.

 

Die RootCA läuft wo?

 

Gruß

Jan


Good morning, that's a nice TNETENNBA!

#5 theonlybrand

theonlybrand

    Newbie

  • 45 Beiträge

 

Geschrieben 23. Dezember 2016 - 10:08

Hallo Jan,

 

die RootCA ist offline, das Root Zertifikat habe ich bereits auf der SubCA als vertrauenswürdiges Zertifikat importiert.

Das Root Zertifikat möchte ich eigentlich nicht auf dem DC haben, da ich später eine zweite SubCA aufsetzen will, um Zertifikate an Kunden verteilen zu können.


Linux is like a tipi, no gates, no windows, and an apache inside


#6 Dukel

Dukel

    Board Veteran

  • 9.310 Beiträge

 

Geschrieben 23. Dezember 2016 - 10:10

Ist die SubCA AD integriert.


Stop making stupid people famous.


#7 Dunkelmann

Dunkelmann

    Expert Member

  • 1.862 Beiträge

 

Geschrieben 23. Dezember 2016 - 14:29

Moin,
 

Das Root Zertifikat möchte ich eigentlich nicht auf dem DC haben, da ich später eine zweite SubCA aufsetzen will, um Zertifikate an Kunden verteilen zu können.

Wie soll der Root CA, und damit der gesamten PKI, vertraut werden, wenn das Root Zertifikat nicht veröffentlicht wird?

 

Der Zusammenhang mit einer weiteren Sub CA erschließt sich mir gerade nicht.


Keep It Small - Keep It Simple


#8 theonlybrand

theonlybrand

    Newbie

  • 45 Beiträge

 

Geschrieben 23. Dezember 2016 - 15:39   Lösung

SubCA ist AD integriert. Da hast du recht Dunkelmann, das war irgendwie Quark. Muss wohl der Glühwein sein ;)


Linux is like a tipi, no gates, no windows, and an apache inside




Auch mit einem oder mehreren der folgenden Tags versehen: GPO, Active Directory, Lerngruppe