zoid1988

Mein Ziel ist das User die Zertifikate über einen manuellen Request anfordern (und das Template leider verändern können) nicht einfach eine Art Blankoscheck in Form eines Zertifikats bekommen. Wenn ich die Einstellung am CA Server auf manuell abändere und dann die Autoenroll Zertifikate aber immer noch automatisch ausgestellt werden habe ich genau das erreicht was ich will. Die User die ein Zertifikat dann manuell anfordern bekommen kein Zertifikat ausgestellt solange das nicht von einem CA Admin geprüft wurde und ggf. wirklich freigegeben wird. Will das sehr ungern in meiner Produktiv Umgebung testen, hänge ja doch ein paar tausend User drann

Hallo, ich muss das Thema jetzt nochmal kurz aufgreifen. Mann kann bei den CA Servern ja einstellen wie die Zertifikate ausgestellt werden. Automatisch oder Manuell. Bei uns steht das im Moment auf automatisch. Alle Zertifikate die wir für den Betrieb benötigen sind auf Autoenroll. Wenn ich den CA Server auf manuell umstelle, werden die Autoenroll Zertifikate dann automatisch ausgestellt, oder muss man die dann auch bestätigen ? Sollte das funktionieren, hätte ich mein Problem mit einem Schlag erledigt. Liebe Grüße

richtig

Danke für eure Hilfe :-). Um ehrlich zu sein hätte ich mir nicht gedacht das man das nicht irgendwie unterbinden kann.

das ist der richtige ansatz, da hast du recht :-). das beschriebene verhalten ist in dem fall der user zertifikate nicht wirklich schlimm. im fall von computer zertifikaten könnte aber ein lokaler admin auf die idee kommen das er ein gefaktes zertifikat für sich ausstellt und damit zb. rechnern die nicht der firma angehören eine vpn verbindung ermöglicht.

danke für die info. das heisst das dieser (meiner meinung nach) designfehler wirklich nicht unterbunden werden kann ? gibt es denn eine andere möglichkeit das zertifikat automatisch auzurollen, aber irgendwie zu verhindern das man es manuell auch anfordern darf ?

;-), jaja das mit den computer zertifikaten kann ich ja noch verstehen. zum glück ist der anteil von lokalen admins außerst gering. warum aber jeder user (mit user rechten) sich auch (user) zertifikate ausstellen kann und die eigentschaften verändern kann, kann ich mir nicht erklären ? wie sieht das bei euch aus ?

, ja ich weis schon. aber wenn sich die leute zertifikate ausstellen können, dann ist es nicht so toll wenn der key exportierbar ist. vorallem nicht wenns um computer zertifikate geht (dazu muss man zumindest lokaler admin sein) über die man eine VPN verbindung aufbauen kännte ....

naja, weil er user zertifikate einfach manuell beantragen kann/könnte ? Genau um das gehts im großen und ganzen ja auch ein bisschen. ich hätte bis jetzt (vermutlich aus unwissenheit) noch keine option gefunden wo man dem user das verbieten kann. In erster Linie würde es uns nicht stören wenn er sich ein zweites zertifikat holt (hat zwar keinen sinn, aber trozdem), aber er sollte nicht um das template herum arbeiten dürfen und einfach so den key exportieren können.

Hallo, "Allow private key to be exported" ist nicht angehakt. Prinzipiell werden die beiden Zertifikate um die es da geht (jeweils ein User und ein Computer Zert.) autmatisch enrolled. Dort passen die Einstellungen auch, der Private Key kann nicht exportiert werden. Nur wenn der User auf die Idee kommen würde manuell ein Zertifikat anzufordern dann kann er die Einstellungen über "Properties" ändern und den Key leider auch wirklich exportieren. LG.

Hallo, wir betreiben seit Jahren eine immer größer werdende Domain mit eigener CA. Eigentlich funtkioniert alles wie gewünscht, allerdings haben wir diese Woche etwas bemerkt (ist uns bis jetzt nie aufgefallen und haben wir leider bis jetzt auch nicht bedacht). Wenn ein User einen manuellen Zert Request macht, kann er auf Properties klicken und dort dann zB. angeben das der Private Key exportierbar ist. Das gleiche geht auch für Computer Zertifikate wenn der User lokaler Admin ist. Kann man das irgendwie blockieren ?