AD 2003 - SSL Zertifikat verteilen mit Root-CA

[Maraun 12]

Hallo zusammen,

 

wir haben eine 2003er AD mit einer Root-CA, die bisher per Network Policy and Access Services für WLAN-Zugriffe per Zertifikat benutzt wird.

Das komplette NAP soll dann mit der Zeit folgen, also Zugang nur noch mit aktuellen Updates und aktuellem Virenschutz etc.

Im NPS Server ist die Policy mit einer speziellen Security Group hinterlegt, der Mitglieder das WLAN-Zert ausgerollt bekommen.

 

Jetzt habe ich von einer Fachabteilung eine ähnliche Anforderung erhalten. Die Benutzen ein Portal, das ein SSL-Zert benötigt und dem wird natürlich bisher nicht vertraut. Also erscheint die Fehlermeldung im Browser. Jetzt meine Frage: WIe richte ich hier für eine spezielle Security Group das SSL-Zertifikat ein?

Das Zertifikat habe ich exportiert, die Security Group angelegt, eine GPO definiert, bei der ich in den Computereinstellungen\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities\ das SSL Zertifikat hinterlegt habe. Jetzt würde ich in der GPO noch im Security Filter die spezielle Security Group mit den Abteilungsbenutzern angeben. Funktioniert das so?

Ich habe auch gelesen, dass manche das SSL Zertifikat in der Default Domain Policy in den Zertifikatsspeicher legen und die neue GPO dann auf die jeweilige OU verlinken. Aber für meine Begriffe erhalten dann zu viele User/Computer die Zertifikate.

 

Hat mir jemand einen Tipp?

 

Danke und viele Grüße

Alex