BrainBug02 10 Geschrieben 11. Februar 2009 Melden Teilen Geschrieben 11. Februar 2009 Hallo zusammen, ich würde gerne jedem Benutzer ein Benutzer Zertifikat verpassen. Kann man dies per GPO verteilen? Momentan wird es pro Benutzer über die Zertifikatsseite manuell eingespielt (https://domainontroller/certsrv) Ist etwas anstrengend bei 500 Benutzern. Vielen Dank schonmal für Eure Hilfe Gruß Tony Zitieren Link zu diesem Kommentar
Christoph_A4 10 Geschrieben 11. Februar 2009 Melden Teilen Geschrieben 11. Februar 2009 Bei Technet wird es detailliert erklärt, ist keine große Sache. Ich hoffe damit ist dir geholfen: Bereitstellen von Zertifikaten mithilfe einer Gruppenrichtlinie Zitieren Link zu diesem Kommentar
BrainBug02 10 Geschrieben 11. Februar 2009 Autor Melden Teilen Geschrieben 11. Februar 2009 Vielen Dank für die schnelle Antwort.... werds durcharbeiten. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 11. Februar 2009 Melden Teilen Geschrieben 11. Februar 2009 Hi Tony, wenn die (Windows Server 2003?) CA AD-integriert ist (also als Enterprise CA konfiguriert), kannst Du das sogenannte Autoenrollment nutzen. Das ist in einer AD-Umgebung sicher effizienter als das Verteilen über das Webenrollment, wenn es die Benutzer nicht selbständig durchführen. Der von Christoph genannte Link wäre nicht unbedingt optimal, da Du die Benutzerzertifikate dann in den falschen Store importierst. Korrekt wäre etwa der Umweg über ein certutil-Script, welches das jeweilige Zertifikat in den Benutzerspeicher schreibt. Aber hier wäre der Aufwand auch sehr hoch, da ja jeder Benutzer nur sein eigenes Zertifikat bekommen soll. Der beste Weg wäre (wie oben angesprochen) das Autoenrollment. Wenn Du ein paar mehr Informationen zu Deiner Umgebung gibst, findet man vielleicht einen guten Weg. Viele Grüße olc Zitieren Link zu diesem Kommentar
BrainBug02 10 Geschrieben 17. Februar 2009 Autor Melden Teilen Geschrieben 17. Februar 2009 Hallo olc, Sorry für die späte Antwort... Erstmal vielen Dank für deine Hilfe. Bin bisher noch nicht weiter gekommen. Das mit dem Autoenrollment hört sich sehr interessant an. Wir benutzen dies derzeit für Computerzertifikate. Unsere CA ist AD-Integriert und läuft auf einem 2008er Windows Server Wie bekomme ich denn die Benutzerzertifikate auf die Clients? Danke! Gruß Tony Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 17. Februar 2009 Melden Teilen Geschrieben 17. Februar 2009 Hi Tony, wenn die CA als Enterprise CA konfiguriert wurde (also "AD-integriert" wenn man so will), dann mußt Du nur die gewünschten Templates anpassen und freigeben. Um V2 bzw. in 2008 V3 Templates zu bearbeiten, ist eine Enterprise Version des Windows Server 2008 notwendig - die V1 Templates kannst Du hingegen auch mit einer normalen Standard Version nutzen. Um für Benutzer auch Zertifikate per Autoenrollment auszustellen, muß das gewünschte Template mit Lese- und Autoenroll-Rechten für die gewünschte Benutzergruppe ausgestattet sein. Zusätzlich muß in den Security Settings einer GPO oberhalb der Benutzeraccounts das Autoenrollment im Benutzerzweig freigegeben werden, siehe AD CS: User autoenrollment should be enabled when an enterprise CA is installed . Dann bekommen die Benutzer beim Anmelden (und danach zyklisch) automatisch die für sie ausgestellten Zertifikate. In jedem Fall solltet Ihr das Vorgehen ausgiebig vor dem Produktiveinsatz testen. Wenn mann mit dem Autoenrollment keine Erfahrung hat, kann man sich schnell größere Probleme bereiten. Viele Grüße olc Zitieren Link zu diesem Kommentar
BrainBug02 10 Geschrieben 18. Februar 2009 Autor Melden Teilen Geschrieben 18. Februar 2009 Hallo Olc, du schreibst ja das ich den Benutzer die für Sie ausgestellten Zertifikate an Sie verteilen kann.... Dann bekommen die Benutzer beim Anmelden (und danach zyklisch) automatisch die für sie ausgestellten Zertifikate. D.h. du gehst schon davon aus das es ein Zertifikat gibt oder? Leider habe ich zu diesem Zeitpunkt noch keine Zertifikate für die Benutzer. Sprich die Zertifikate die ich verteilen will sind diese Benutzerspezifischen die man auch braucht um Mails zu verschlüsseln. Am einfachsten zieht man sich diese ja über die certsrv. Aber hier müsste es ja jeder User für sich machen. Ist das technisch überhaubt möglich das die Zertifikatsstelle automatisch merkt wer sich da gerade anmeldet un ihm dann dieses zuzuweisen? Gruß Tony Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 18. Februar 2009 Melden Teilen Geschrieben 18. Februar 2009 Hi Tony, nein - genau dafür ist das Autoenrollment da. :) Es schaut bei korrekter Einrichtung in den Benutzerspeicher und auf die Enterprise-CA: Ist für den Benutzer ein Zertifikattemplate auf dr CA für das Autoenrollment freigegeben, zu dem es noch kein lokales Zertifikat im Benutzerprofil (also auf dem Client) gibt, wird das Autoenrollment eingeleitet. Das heißt auf Grundlage des freigegebenen Templates wird dann ein Benutzerzertifikat automatisch an den Benutzer ausgestellt. Du kannst also direkt das Zertifikat, welches Ihr derzeit über das Webenrollment anfordert, automatisch ausstellen / verteilen lassen. Schau Dir die Autoenrollment Funktion einmal an, teste ein wenig damit herum. Dann spart Ihr Euch in Zukunft sicher einiges an Arbeit. Viele Grüße olc Zitieren Link zu diesem Kommentar
BrainBug02 10 Geschrieben 20. Februar 2009 Autor Melden Teilen Geschrieben 20. Februar 2009 Hallo olc, vielen Dank für deine Antwort und Geduld :D Werds gleich ausprobieren... hab ja übers Wochenende genug Zeit.... Viele Grüße Tony Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 20. Februar 2009 Melden Teilen Geschrieben 20. Februar 2009 Hi Tony, ja, mach das mal. Bei Fragen - fragen. ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.