Blobby 10 Geschrieben 30. Januar 2009 Melden Geschrieben 30. Januar 2009 Hallo zusammen, ich habe folgendes Problem und hoffe das Ihr mir helfen könnt. :) Wir habe ein Win 2003 Server (Standard) mit eigenständige Stammzertifizierungsstelle. Der Server befindet sich nicht in der Active Directory (Vorgabe von oben). Die Zertifikate werden zentral von Admins erstellt und dann an die User verteilt. Kennt Ihr eine Möglichkeit die Zertifikatsvorlagen trotzdem zu bearbeiten ? Das Ziel ist die Gültigkeitsdauer der Zertifikate länger als 1 Jahr einzustellen. Kann man die Erstellung der Zertifikate automatisieren ? (z.b. per Skript?) Ohne jedesmal über den Webbrowser ein Zertifikatt zuerstellen. Danke für Eure Hilfe....:)
Blobby 10 Geschrieben 3. Februar 2009 Autor Melden Geschrieben 3. Februar 2009 :( Hat keiner eine Idee ? :confused: :cry:
olc 18 Geschrieben 3. Februar 2009 Melden Geschrieben 3. Februar 2009 Hi Blobby und willkommen, eine Windows Server 2003 Standard Edition CA kann generell nur V1-Templates nutzen. Hierbei kann das Template nicht bearbeitet werden (außer den Berechtigungen), damit also auch keine Laufzeiten etc. verändert werden. Was Du aber machen könntest, wäre die Laufzeit für alle in der Zukunft auszustellenden Zertifikate erhöhen. Das erreichst Du über die Registrierung oder über certutil (was auch nur die Registrierungswerte ändert): certutil -setreg CA\ValidityPeriodUnits 2 certutil -setreg CA\ValidityPeriod years Danach den CA-Dienst neu starten. Alternativ brauchst eine Windows Server 2003 Enterprise Edition CA, bei der Du die Vorlagen duplizieren kannst, dabei daraus V2-Templates werden und damit auch die Felder angepaßt werden können. Aber hier ist die Stand-Alone CA problematisch, weil Du keine eigenen Templates dabei bearbeiten / ausstellen kannst. Also bleibt in der Konstellation eigentlich nur die Variante oben mit der Registrierung. Viele Grüße olc
Blobby 10 Geschrieben 25. Februar 2009 Autor Melden Geschrieben 25. Februar 2009 Super, danke Olc. Damit hast Du mir sehr geholfen !!! :jau: Eventuell kann man mit "certreq.exe" auch die Erstellung der Zertifikate vereinfachen (ohne Webbrowser), werde mir das mal ansehen... :) DANKE :)
olc 18 Geschrieben 25. Februar 2009 Melden Geschrieben 25. Februar 2009 Hi Blobby, schön, daß es Dir weiterhilft und danke für Deine Rückmeldung. :) Die Grundsatzfrage ist oftmals, ob eine Stand-Alone oder eher eine Enterprise-CA Sinn macht. Der Vorteil einer Enterprise-CA in Windows Netzwerken ist natürlich enorm. Also macht es Sinn, mit "denen von oben" ;) noch einmal zu sprechen. Aber klar, da zählen viele Faktoren mit hinein, das entscheidet man im Normalfall nicht "einfach mal so". Certreq ist beim Einstieg erst einmal "kompliziert" - hat man dann aber ein funktionierendes "Template", gehen Änderungen schnell von der Hand. :) Viele Grüße olc
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden