theonlybrand

Ok jetzt funktioniert alles. Danke für eure Hilfe

Ok also muss ich in den GPO den DNS Namen des WSUS eintragen und nicht die IP? Und ich verwende SHA256

Die Clients bauen immer noch keine Verbindung zum WSUS auf, habe bereits im Zertifikatspeicher (Lokaler Computer) das Zertifikat des WSUS in den Vertrauenswürdigen Stammzertifizierungsstellen hinterlegt, sowie ein Clientzertifikat. Fehlt mir da noch irgendwas? Die Gruppenrichtlinie wird korrekt übernommen, die Registryeinträge unter HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate sind auch korrekt mit https://wsusip:8531 (WUServer und WUStatusServer)

nein da muss ich dich enttäuschen Norbert ;) Ich hab nur nicht genügend nachgedacht

Ok habs hinbekommen, der Benutzer auf dem WSUS war der lokale Admin und nicht Domänenadmin

da ist das auch konfiguriert

Hab ich gemacht, funktioniert immer noch nicht -.- Muss ich diese Negotiate Authentifizierung vllt rauswerfen?

so jetzt :D

Hallo zusammen, ich möchte für meinen WSUS SSL einrichten, habe dazu die Anleitung unter https://www.wsus.de/ssl_kommunikation verwendet. Jetzt habe ich nur beim Anfordern des Domänenzertifikats das Problem, dass ich meine Enterprise CA nicht finde wenn ich diese bei "Online-Zertifizierungsstelle" angeben soll. Auch das manuelle eintragen von Zertifizierungsstellenname\Servername funktioniert nicht, denn dann bekomme ich die folgende Fehlermeldung. (siehe Anhang) Hat mir jemand einen Denkanstoß? Danke euch theonlybrand

Danke für eure Hilfe! Allerdings stehe ich jetzt vor einem neuen Problem: Scheinbar ist meine Zertifizierungsstelle ungültig und er hat ein Problem mit der Zertifizierungskette (net::ERR_CERT_AUTHORITY_INVALID). Wie kann das sein? Meine Zertifizierungskette erscheint als gültig wenn ich im Browser diese überprüfe, sonst würde er mir ja dann im Zertifizierungspfad anzeigen wenn er Probleme hat oder?

Hallo liebe Community, ich habe mittlerweile meine 2-Tier-PKI zum laufen gebracht, die zertifikatskette steht. Nun habe ich allerdings folgendes Problem: Wenn ich mich mit meiner VM, welche in der selben Domäne wie die Issuing CA sitzt, auf den Bereich https://pki.meinedomäne.de/certsrvverbinden will bringt er mir die Meldung: MOZILLA_PKIX_ERROR_CA_CERT_USED_AS_END_ENTITY Was genau mache ich falsch? Ich habe dem Client das Zertifikat der Issuing CA bereits in den Zertifikatspeicher der Vertrauenswürdigen Stammzertifizierungsstellen importiert, habe ich irgendwo einen Denkfehler? Danke für eure Hilfe theonlybrand

Hallo Ziralo, ist das eine eigenständige CA oder innerhalb einer mehrstufigen PKI? Das Problem trat bei mir anfangs auch auf, allerdings war zu diesem Zeitpunkt die Zertifikatskette noch ungültig. Überprüf diese am besten über die MMC mit dem Snap-In Unternehmens-PKI. Grüße theonlybrand

Hallo liebe Community, ich habe aktuell Probleme in meiner PKI das Zertifikat für die Enterprise CA zu installieren. Kurz zu meinem Vorgehen: 1. Über den Server Manager die Enterprise CA installiert. Während des Setups die .req-Datei erstellt. 2. Die .req-Datei auf die Root CA kopiert und das Zertifikat für die Enterprise CA ausgestellt. 3. Ausgestelltes Zertifikat und Sperrliste der Root CA auf die Enterprise CA kopiert. -> Hier tritt jetzt der Fehler auf. Ich befinde mich auf der Enterprise CA. Die Root CA habe ich bereits abgeschaltet. 4. Server Manager -> Zertifizierungsstelle -> Dienste starten. 5. Hier sagt mir Windows dann ich soll bitte das zugehörige Zertifikat installieren. Dann wähle ich aus dem Filesystem das Zertifikat aus. 6. Jetzt kommt die Fehlermeldung "Zugriff verweigert". Was mache ich falsch? Danke für eure Hilfe und Geduld mit mir :) Ok das Thema hat sich erledigt. War ein OSI-Layer 8 Problem :D

SubCA ist AD integriert. Da hast du recht Dunkelmann, das war irgendwie Quark. Muss wohl der Glühwein sein ;)

Hallo Jan, die RootCA ist offline, das Root Zertifikat habe ich bereits auf der SubCA als vertrauenswürdiges Zertifikat importiert. Das Root Zertifikat möchte ich eigentlich nicht auf dem DC haben, da ich später eine zweite SubCA aufsetzen will, um Zertifikate an Kunden verteilen zu können.

Klar kein Problem Norbert, Ich habe in meiner Testumgebung eine Root-Zertifizierungsstelle und eine untergeordnete Zertifizierungsstelle erstellt. Die RootCA stellt ein Zertifikat an die SubCA aus. Nun möchte ich, dass das Zertifikat der SubCA in unserer AD über die Gruppenrichtlinien ausgerollt wird. SubCA und DC sind auf zwei separaten VM´s installiert. Frage: Kann ich das Zertifikat der SubCA auf den DC übertragen, es dann per Gruppenrichtlinien an die AD User ausrollen?

Hallo zusammen, folgendes Frage stelle ich mir nun schon seit einigen Tagen, komme aber auf keinen grünen Zweig. Ich habe in meiner PKI eine SubCA separat vom DC erstellt, diese soll über die GPO per Autoenrollment die Zertifikate in der AD verteilen. Frage: Kann ich das Zertifikat von der SubCA auf den DC schieben, damit dieser dann die Zertifikate verteilt? Oder braucht der DC auch die Funktionalitäten einer SubCA? Danke im Voraus. Frohe Weihnachten und einen guten Rutsch wünscht euch theonlybrand

Danke Nils für deine schnelle Antwort! Ich lass diesen Thread hier mal offen, vllt kommen mir noch ein paar Fragen. Grüße Felix

Vielen Dank euch, Habe bis Ende März Zeit dafür und kümmere mich in dieser Zeit ausschließlich darum. Bis dahin sollte die interne Zertifizierung funktionieren. Ich weiss auch nicht genau wie sich mein "Ausbilder" das vorstellt, er hat nur gemeint "Mach einfach mal". Anforderungen zu klären fällt da schwer, da ich alles auf eigenverantwortlicher Basis errichten soll, das ist der Punkt den ich hier nicht so ganz verstehe.

Hallo liebe Community, ich bin neu hier und stell mich mal kurz vor: Ich heiße Felix, bin 21 Jahre jung und studiere derzeit Informatik mit der Vertiefungsrichtung Industrielle Automatisierung an der DHBW Heidenheim. Zu meiner Frage: Ich soll in meinem Praxisunternehmen eine PKI zur internen Zertifizierung aufbauen, ich hatte mir dabei gedacht eine RootCA, sowie zwei SubCA´s zu erstellen, Hintergedanke dabei ist, dass ich erst über eine SubCA die interne Zertifizierung übernehme, und später dann die zweite SubCA dafür nutze, um unseren Kunden ebenfalls Zertifikate ausstellen zu können. Frage #1: Ist mein Grundgedanke der richtige oder hab ich irgendwo einen Denkfehler? Frage #2: Funktioniert das mit Windows Server 2016 (oder älter) oder muss ich dafür auf Linux umsteigen? Frage #3: Können die beiden SubCA´s einmal in der Domäne liegen und einmal außerhalb? Danke schonmal im Voraus :) Freundliche Grüße theonlybrand