2K3R2 - Zertifikatproblem - autom. Registrierung

[Poehli]

Hallo,
ich habe hier unter WS2003R2 x64 mit AD ein paar Schwierigkeiten.

Ziel ist es, die Zertifikatvorlage "Codesignatur" zu duplizieren, wobei aus dem dabei entstehenden Version 2 Zertifikat eine Version 1 gemacht werden soll UND die "automatische Registrierung" möglich sein soll. Schließt sich das aus?
Das Zertifikat soll als Unternehmenszertifikat für die Softwareverteilung über WSUS dienen.

Mein Problem ist das ich zwar mit ADSIEdit aus der V2 eine V1 machen kann, aber dann steht im certtmpl.msc bei "automatische Registrierung" immer wieder "nicht zugelassen". Eine V2 kann ich aber auch nicht verwenden, denn die kann ich in certsrv.msc nicht zu den Zertifikatvorlagen der lokalen Zertifikatstelle hinzufügen, da werden wohl nur V1 akzeptiert.

Was tun? Wie bekomme ich die Zertifikate im AD auf die Clients verteilt? Wenn automatisch registrieren nicht geht, wie geht es unautomatisch ? :-)

Danke,
byPö

[olc]

Hi,

Du benötigst unter Windows Server 2003 eine Enterprise Edition, die Standard Version kann keine V2 Vorlagen ausstellen. Erst ab Windows Server 2008 R2 ist es in der Standard SKU möglich, V2 / V3 Vorlagen zu nutzen.

Viele Grüße
olc

[Poehli]

Leider hab ich aber nur Standard :-)

die Standard kann schon V2 erstellen ( alle duplizierten Zertifikatvorlagen sind automatisch V2), das sieht man in den Eigenschaften der duplizierten Vorlage, aber diese V2 sind für Unternehmenszertifikate nicht auswählbar. ausstellen... ah so, ja das kann sie eher nicht.

Deswegen habe ich ja aus der V2 mittels ASIEdit eine V1 gemacht. Die ehemalige V2 bekomme ich dann zur Auswahl angezeigt. Das geht. Ich bekomme für diese nur nicht "automatische Registrierung" bei den Sicherheitseinstellungen angeboten. Ich vermute jedoch das sich das auch per ASIEdit lösen lässt, wenn man es nur findet.

Sollte dieser Weg scheitern, wie könnte ich die Zertifikate noch geschickt verteilen?

byPö

[olc]

Hi,

auch, wenn es nicht funktionieren wird: Mit dem Versuch die V2 Templates unter 2003 Standard zum Laufen zu bringen, begehst Du einen Lizenzverstoß. Daher solltest Du diesen Teil nun einfach bleiben lassen... Hier im Forum werden wir dazu auch keine Hinweise geben.

Was genau möchtest Du eigentlich erreichen? Ich habe das Szenario nicht richtig verstanden.

Viele Grüße
olc

[Sunny61]

Zitat von olc Was genau möchtest Du eigentlich erreichen? Ich habe das Szenario nicht richtig verstanden.

Das hier vorgeschlagene möchte er erreichen: http://www.mcseboard.de/active-direc...ml#post1120778 (GPO Verteilung von Thunderbird streikt)

[Poehli]

Hallo,

naja, ich denke nicht das es ein Lizenzverstoß ist aus einer V2 Vorlage eine V1 Vorlage zu machen, und unter WS2003 mit einer V1 zu arbeiten, die erweiterten Möglichkeiten der V2 gehen dabei offensichtlich verloren, es ist im Prinzip nur eine Konvertierung und es entsteht den Verwendungsoptionen nach eine waschechte V1.

Ich muss aber insofern klein bei geben das mit WS2003Standard scheinbar trotz des Tricks der Weg zur automatisch Registrierung verbaut ist. Allerdings bleibt mit dem erstellten Zertifikat noch die Option der manuellen Anforderung seitens der Clients, schon mal besser als gar nichts.
Ich befürchte trotzdem das ich mangels Durchblick die Sache nicht zum Laufen bekomme, vielleicht nochmal einen Anlauf machen wenn in eine paar Jahren WS2008 bei uns eingeführt wird :-)

vielen Dank auch an Sunny61, hab auf jeden Fall einiges gelernt!

byPö