Jump to content

Zertifikate in AD über DC ausrollen


Direkt zur Lösung Gelöst von theonlybrand,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

folgendes Frage stelle ich mir nun schon seit einigen Tagen, komme aber auf keinen grünen Zweig.

Ich habe in meiner PKI eine SubCA separat vom DC erstellt, diese soll über die GPO per Autoenrollment die Zertifikate in der AD verteilen.

 

Frage: Kann ich das Zertifikat von der SubCA auf den DC schieben, damit dieser dann die Zertifikate verteilt? Oder braucht der DC auch die Funktionalitäten einer SubCA?

Danke im Voraus.

 

Frohe Weihnachten und einen guten Rutsch wünscht euch

 

theonlybrand

Link zu diesem Kommentar

Klar kein Problem Norbert,

 

Ich habe in meiner Testumgebung eine Root-Zertifizierungsstelle und eine untergeordnete Zertifizierungsstelle erstellt. Die RootCA stellt ein Zertifikat an die SubCA aus. Nun möchte ich, dass das Zertifikat der SubCA in unserer AD über die Gruppenrichtlinien ausgerollt wird. SubCA und DC sind auf zwei separaten VM´s installiert.

 

Frage: Kann ich das Zertifikat der SubCA auf den DC übertragen, es dann per Gruppenrichtlinien an die AD User ausrollen?

Link zu diesem Kommentar

Hi,

 

ja, das geht. Du nimmst das SubCA (ohne privaten Schlüssel) und kopierst es auf einen Share. Dann nimmst du die Gruppenrichtlinienverwaltung und nimmst eine vorhandene GPO / erstellst eine neue GPO in der du unter Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinie für öffentliche Schlüssel -> Zwischenzertifizierungsstellen das SubCA importierst.

Ggfs. machst du das dann direkt fürs RootCA auch, allerdings das RootCA dann in Vertrauenswürdige Zertifizierungsstellen importieren.

 

Die RootCA läuft wo?

 

Gruß

Jan

Link zu diesem Kommentar

Moin,
 

Das Root Zertifikat möchte ich eigentlich nicht auf dem DC haben, da ich später eine zweite SubCA aufsetzen will, um Zertifikate an Kunden verteilen zu können.

Wie soll der Root CA, und damit der gesamten PKI, vertraut werden, wenn das Root Zertifikat nicht veröffentlicht wird?

 

Der Zusammenhang mit einer weiteren Sub CA erschließt sich mir gerade nicht.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...