marhal 0 Geschrieben 24. April 2018 Melden Geschrieben 24. April 2018 Hallo alle zusammen, hier mein erster Beitrag bzw. Frage im Forum und vielleicht kann mir jemand bei meinem Problem helfen. Ich habe bei uns eine Zertifizierungsstelle mit SubCA eingerichtet. Die läuft soweit, ich kann Web Zertifikate ausstellen und Computer Zertifikate. Nun möchte ich die Computer Zertifikate gern automatisieren, was auch funktioniert per Gruppenrichtlinie. Nun schwebt mir aber vor das ich je nach OU unterschiedliche Computerzertifikate ausrolle z.B. Ou1 bekommt Computer-Zertifikate mit 3 Jahren Laufzeit und Ou2 bekommt Computer-Zertifikate mit 5 Jahren. Und je nachdem wie ich den Rechner in die Ou verschiebe, wird das Zertifikat erstellt bzw. ersetzt oder aktualisiert. Ich habe schon sämtliche Einstellung mir angeschaut aber leider kein Punkt gefunden, wie ich per GPO verschiedene Zertifikats-Vorlagen verschiedenen OU zuweisen kann. Hat hier jemand vielleicht eine Idee, bzw. weißt wo ich Einstellungen tätigen kann damit das funktioniert? Gruß Marhal
NorbertFe 2.283 Geschrieben 24. April 2018 Melden Geschrieben 24. April 2018 (bearbeitet) Hallo erstmal, Was ist denn die Anforderung für sowas? bye norbert bearbeitet 24. April 2018 von NorbertFe
NilsK 3.046 Geschrieben 24. April 2018 Melden Geschrieben 24. April 2018 Moin, der Sinn ist mir auch nicht klar. Aber lösen könnte man sowas nur über Gruppen, nicht über OUs. Die Gruppe "CompZert 3 Jahre" erhält Autoenroll-Berechtigung auf die Vorlage 3 Jahre, die Gruppe "CompZert 1 Jahr" erhält sie für die Vorlage mit 1 Jahr. Wobei 3 Jahre Laufzeit für ein Computerzertifikat viel zu lang ist, gerade bei Autoenroll, Da würde ich nicht mehr als 6 Monate setzen. Gruß, Nils
marhal 0 Geschrieben 25. April 2018 Autor Melden Geschrieben 25. April 2018 Danke für eure schnelle Antwort. Die Idee war hauptsächlich für Computer-Zertifikate die wir für Zugangskontrolle nutzen wollten. z.B. Dass es eine OU gibt nur mit Notebooks wo im Zertifikat Antragsteller dann der Rechnername plus Pfad drinsteht. CN=Rechner1,OU=Notebooks,O=Firma=de. Und damit wollten wir dann halt z.B. VPN Zugang für zwei Faktor-Authentifizierung benutzen. @NilsK Das mit dem Gruppen hatte ich auch schon im Hinterkopf. Aber schön zu sehen das noch mal bestätigt zu bekommen.
NilsK 3.046 Geschrieben 25. April 2018 Melden Geschrieben 25. April 2018 Moin, gerade in dem Szenario niemals lange Laufzeiten nehmen. Ich habe Kunden, die für VPN-Zertifikate max. 2 Wochen setzen. Das ist natürlich eine Frage der Abwägung, aber die muss eben informiert geschehen und die Sicherheit priorisieren. Beim Einsatz von Zertifikaten ist "es soll halt funktionieren" fast nie der richtige Ansatz. Gruß, Nils
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden