Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
theonlybrand

Zertifikate in AD über DC ausrollen

Empfohlene Beiträge

Hallo zusammen,

 

folgendes Frage stelle ich mir nun schon seit einigen Tagen, komme aber auf keinen grünen Zweig.

Ich habe in meiner PKI eine SubCA separat vom DC erstellt, diese soll über die GPO per Autoenrollment die Zertifikate in der AD verteilen.

 

Frage: Kann ich das Zertifikat von der SubCA auf den DC schieben, damit dieser dann die Zertifikate verteilt? Oder braucht der DC auch die Funktionalitäten einer SubCA?

Danke im Voraus.

 

Frohe Weihnachten und einen guten Rutsch wünscht euch

 

theonlybrand

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Klar kein Problem Norbert,

 

Ich habe in meiner Testumgebung eine Root-Zertifizierungsstelle und eine untergeordnete Zertifizierungsstelle erstellt. Die RootCA stellt ein Zertifikat an die SubCA aus. Nun möchte ich, dass das Zertifikat der SubCA in unserer AD über die Gruppenrichtlinien ausgerollt wird. SubCA und DC sind auf zwei separaten VM´s installiert.

 

Frage: Kann ich das Zertifikat der SubCA auf den DC übertragen, es dann per Gruppenrichtlinien an die AD User ausrollen?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi,

 

ja, das geht. Du nimmst das SubCA (ohne privaten Schlüssel) und kopierst es auf einen Share. Dann nimmst du die Gruppenrichtlinienverwaltung und nimmst eine vorhandene GPO / erstellst eine neue GPO in der du unter Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinie für öffentliche Schlüssel -> Zwischenzertifizierungsstellen das SubCA importierst.

Ggfs. machst du das dann direkt fürs RootCA auch, allerdings das RootCA dann in Vertrauenswürdige Zertifizierungsstellen importieren.

 

Die RootCA läuft wo?

 

Gruß

Jan

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo Jan,

 

die RootCA ist offline, das Root Zertifikat habe ich bereits auf der SubCA als vertrauenswürdiges Zertifikat importiert.

Das Root Zertifikat möchte ich eigentlich nicht auf dem DC haben, da ich später eine zweite SubCA aufsetzen will, um Zertifikate an Kunden verteilen zu können.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,
 

Das Root Zertifikat möchte ich eigentlich nicht auf dem DC haben, da ich später eine zweite SubCA aufsetzen will, um Zertifikate an Kunden verteilen zu können.

Wie soll der Root CA, und damit der gesamten PKI, vertraut werden, wenn das Root Zertifikat nicht veröffentlicht wird?

 

Der Zusammenhang mit einer weiteren Sub CA erschließt sich mir gerade nicht.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×