StefanWe 14 Geschrieben 28. Februar 2013 Melden Geschrieben 28. Februar 2013 Hallo, wir haben hier ein Active Directory, aber 2 Enterprise CA's. Nun ist es leider so, dass Standardmäßig alle Clients sich versuchen die Zertifikate von der 1. (älteren) CA zu holen. Ist es möglich, per GPO die CA anzugeben, wo die Zertifikate angefragt werden sollen, wenn ja, wo? ;)
olc 18 Geschrieben 1. März 2013 Melden Geschrieben 1. März 2013 Hi, Ihr braucht nur die Zertifikat-Templates ausschließlich auf der CA veröffentlichen, die die Zertifikate auch ausstellen soll. Der PKI-Client fragt bei aktiviertem Auto-Enrollment immer alle Enterprise CAs an, prüft die Berechtigung auf der CA und/oder den auf dieser CA veröffentlichten Templates und schaut, ob er ausrollen soll und darf. Was also auf einer CA als Template nicht veröffentlicht ist, kann auch nicht abgefragt werden. :) P.S.: Ab Windows Server 2012 können auch AD-Sites genutzt werden, um den Clients eine "lokale CA" zu geben. Aber ich vermute das ist (noch) kein Thema oder? Viele Grüße olc
StefanWe 14 Geschrieben 1. März 2013 Autor Melden Geschrieben 1. März 2013 och, das ist ja nen Ding. Dann weiß ich ja Bescheid. Ist das bei dem WebDienst https://<caiisservername>/certsrv auch der Fall?
olc 18 Geschrieben 2. März 2013 Melden Geschrieben 2. März 2013 Hi, Wie meinst Du das genau? Die Webseite greift auf eine CA zu (lokal oder diejenige, die Du konfiguriert hast). Von dieser CA zieht sich die Webseite auch die Templates. Ist ein Templates für eine CA nicht mehr freigegeben, kann die Webseite daran nichts ändern und gibt nur diejenigen Templates an, die auf der CA veröffentlicht wurden. Viele Grüße olc
StefanWe 14 Geschrieben 12. März 2013 Autor Melden Geschrieben 12. März 2013 das funktioniert soweit auch. Aber ich kann ja per GPO eine anforderungsrichtlinie definieren. Nur versteh ich die Syntax nicht so ganz, wie ich hier die CA hinterlegen soll, dass die Benutzer ausschließlich von dieser CA die Zertifikate anfragen. Mein Problem ist, wir haben vor Jahren eine Enterprise CA installiert um ein Exchange Zertifikat zu erstellen. Hier hätte natürlich auch eine Standard CA gereicht. Aber so ist es nun mal. Problem ist nun, dass die Computer sich die Zertifikate erst von der alten CA anfragen..
olc 18 Geschrieben 13. März 2013 Melden Geschrieben 13. März 2013 Hi, Ich habe Dir die Antwort doch schon gegeben. Hast Du Dir das angeschaut? Viele Grüße olc
StefanWe 14 Geschrieben 14. März 2013 Autor Melden Geschrieben 14. März 2013 Sorry, ich der Web Enrollment Seite ist es mir nun klar. Mir geht es aktuell um die automatische registrierung von Zertifikaten. Die Clients fragen ja bei allen CA's an und die, die zu erst antwortet, stellt das Zertifikat aus. Ich habe nun erstmal die eine CA gestoppt. Aber scheinbar gibt es da keine Möglichkeit das einzugrenzen.
olc 18 Geschrieben 14. März 2013 Melden Geschrieben 14. März 2013 Hi, ich wiederhole ;) mich wenn ich sage, daß die Clients nur von den Enterprise CAs Zertifikate auf Basis eines Templates bekommen, auf denen diese Templates eben freigegeben wurden. D.h. auch hier: Entferne das Template von der CA, damit erledigt sich das Problem. Viele Grüße olc
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden