Autoenroll Zertifikatsproblem

[cypress73]

Hallo, ich habe folgendes Problem:

Running: Server:Windows2008EE Server ADS,DNS,CertCA,IIS,NPAS
Client Windows 7
Wlan AccessPoint mit Radius Konfig und EAP/Tls Authentifizierung

ich kriege es nicht hin das sich der Client selbstständig das Computer/Benutzerzertifikat holt (Autoenroll) Manuell funktioniert es und es wird auch eine sichere Verbindung mit dem Lan aufgebaut. Habe es in einer GPO schon unter Benutzer/Computer-Sicherheit- usw. eingetragen alle Häckchen gesetzt auch über den Assistenten das Zertifikat ausgewählt und in der Zertifikatsvorlagenkopie Häckchn bei den berechtigten Gruppen Lesen, Enroll, Autoenroll gesetzt > es funktioniert nicht

Kann mir jemand helfen?


Gruß

[olc]

Hi cypress73, willkommen an Board,

welcher Gruppe hast Du Autoenroll Berechtigungen gegeben - Benutzer- oder Computergruppen? Für Computer Autoenrollment wäre letzteres notwendig.

Wurde das Autoenrollment per GPO im Computerteil der Policy aktiviert, greift die Policy überhaupt auf dem Client?

Was steht im Eventlogs des Clients, was im Eventlog (oder Failed Requests) der CA?


Viele Grüße
olc

[cypress73]

Hallo,

ich habe sowohl der Gruppe DomainUser als auch DomaiComputer die Berechtigung gegegebn nur zur Sicherheit
DAs Autoenrollment wurde im Computerteil als auch im Benutzerteil aktiviert
Ob die Policy greift weiss ich nicht. Anscheinend nicht wenns nicht funkt. da nur das Autoenrolllment da definiert wurde (eigene GPO unter der DomainPolicy) (wenn ichs unter der mmc lokal anfordere wird es installiert und es funkt. dann)
Log steht das ein Benutzerzertifikat fehlt..das ist klar weil ja das Enrollment nicht funkt. bzw. die GPO und kein Zertifikat verteilt wird auf den Client hmmm...fällt mir gerade ein> darf ich maybe keine eigene GPO erstellen sondern muss ich die Einstellungen in der DefaultDomainPolicy machen?

[olc]

Hi,

ein paar Absätze und Satzzeichen mehr erhöhen die Lesbarkeit ungemein.

D.h. Du hast eine neue Policy erzeugt und darin die Autoenrollment Einstellungen definiert? Die Default Domain Policy unter Windows Server 2003 hat einen Anzeigefehler, was die Standardeinstellungen des Autoenrollments betrifft - daher die Nachfrage.

Welche der Optionen hast Du in der Autoenrollment Policy aktiviert? Bestenfalls beide Haken setzen (+ "Enabled" natürlich).

Ob die Autoenrollment Einstellungen greifen, siehst Du auf einem Client unter "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\AutoEnrollment" --> "AEFlags". Der Wert sollte bei gesetzten Optionen vorhanden und größer "0" sein (ich denke "7" oder "9").

Fehler im Ereignisprotokoll "Application" der Clients?

Viele Grüße
olc

[cypress73]

Hallo,

ja ich habe eine neue Policy erstellt in welcher nur die Autoenroll Einstellungen sind.
Und beide Haken
Den Fehler habe ich jetzt gefunden > es lag an dem Userzertifiakt selbst. Habe die Vorlage samt der Kopie aus dem Server gelöscht und ein neues erstellt mit Im AD veröffentlichen, die berechtigte Gruppe hinzugefügt, Unter CSPs Microsoft RSA Häkchen rein und den Basic raus. Unter Namensformat nur "Common Name" include Info nuir den UPN dann Client neu gestartet, GPupdate und siehe da nach 10 sec. hat er sich das UserZertifikat geholt und die EAP_TLS Verbindung ist aufgebaut )

[cypress73]

was mir noch nicht ganz klar ist > Wie soll sich ein neuer User oder Client den die Zertifikate holen wenn er nur über eine WLAN Verbindung verfügt? Die ist ja Anfangs garnicht aufgebaut (Jetzt nur mal so nen Gedanke, reine Theorie, habs noch nicht getestet)

[olc]

Hi,

wenn der Benutzer das Zertifikat vor der WLAN Anmeldung benötigt, muß er sich mindestens ein Mal (oder sein Rechner, wenn es auf Computerbasis läuft) mit Netzwerkverbindung angemeldet haben. Zur Not also mit LAN-Kabel.

Viele Grüße
olc

[cypress73]

hmm..anders geht es nicht? Habe ich die Möglichkeit irgendwie das Benutzer/Computerzertifikat auf z.B. USB Stick zu speichern und dann lokal am Client zu installieren?

[olc]

Hi,

natürlich - die Möglichkeit hast Du auch. "Enroll on behalf of" ist das Stichwort dazu: http://technet.microsoft.com/en-us/m...ritywatch.aspx
Das hat dann aber nichts mehr mit einem Autoenrollment zu tun.

Viele Grüße
olc

[cypress73]

hi olc,

danke für den Link werde ihn mir durchlesen ist echt interessant das ganze Thema
Um nochmal auf die Zertifikate und USB Stick zu kommen ja natrlich ist das kein Autoenrollment aber kannstt du mir kurz erklären wie das geht? ich kann z.B. in dem Zertifikatsmanagement auf dem CA Server die erstellten Copien nicht per Export exportieren. Nur dann auf dem Client selbst geht das wenn er es schon drauf hat. Was für Möglichkeiten habe ich?
Gruß