marhal 0 Geschrieben 24. April 2018 Melden Teilen Geschrieben 24. April 2018 Hallo alle zusammen, hier mein erster Beitrag bzw. Frage im Forum und vielleicht kann mir jemand bei meinem Problem helfen. Ich habe bei uns eine Zertifizierungsstelle mit SubCA eingerichtet. Die läuft soweit, ich kann Web Zertifikate ausstellen und Computer Zertifikate. Nun möchte ich die Computer Zertifikate gern automatisieren, was auch funktioniert per Gruppenrichtlinie. Nun schwebt mir aber vor das ich je nach OU unterschiedliche Computerzertifikate ausrolle z.B. Ou1 bekommt Computer-Zertifikate mit 3 Jahren Laufzeit und Ou2 bekommt Computer-Zertifikate mit 5 Jahren. Und je nachdem wie ich den Rechner in die Ou verschiebe, wird das Zertifikat erstellt bzw. ersetzt oder aktualisiert. Ich habe schon sämtliche Einstellung mir angeschaut aber leider kein Punkt gefunden, wie ich per GPO verschiedene Zertifikats-Vorlagen verschiedenen OU zuweisen kann. Hat hier jemand vielleicht eine Idee, bzw. weißt wo ich Einstellungen tätigen kann damit das funktioniert? Gruß Marhal Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 24. April 2018 Melden Teilen Geschrieben 24. April 2018 (bearbeitet) Hallo erstmal, Was ist denn die Anforderung für sowas? bye norbert bearbeitet 24. April 2018 von NorbertFe Zitieren Link zu diesem Kommentar
NilsK 2.777 Geschrieben 24. April 2018 Melden Teilen Geschrieben 24. April 2018 Moin, der Sinn ist mir auch nicht klar. Aber lösen könnte man sowas nur über Gruppen, nicht über OUs. Die Gruppe "CompZert 3 Jahre" erhält Autoenroll-Berechtigung auf die Vorlage 3 Jahre, die Gruppe "CompZert 1 Jahr" erhält sie für die Vorlage mit 1 Jahr. Wobei 3 Jahre Laufzeit für ein Computerzertifikat viel zu lang ist, gerade bei Autoenroll, Da würde ich nicht mehr als 6 Monate setzen. Gruß, Nils Zitieren Link zu diesem Kommentar
marhal 0 Geschrieben 25. April 2018 Autor Melden Teilen Geschrieben 25. April 2018 Danke für eure schnelle Antwort. Die Idee war hauptsächlich für Computer-Zertifikate die wir für Zugangskontrolle nutzen wollten. z.B. Dass es eine OU gibt nur mit Notebooks wo im Zertifikat Antragsteller dann der Rechnername plus Pfad drinsteht. CN=Rechner1,OU=Notebooks,O=Firma=de. Und damit wollten wir dann halt z.B. VPN Zugang für zwei Faktor-Authentifizierung benutzen. @NilsK Das mit dem Gruppen hatte ich auch schon im Hinterkopf. Aber schön zu sehen das noch mal bestätigt zu bekommen. Zitieren Link zu diesem Kommentar
NilsK 2.777 Geschrieben 25. April 2018 Melden Teilen Geschrieben 25. April 2018 Moin, gerade in dem Szenario niemals lange Laufzeiten nehmen. Ich habe Kunden, die für VPN-Zertifikate max. 2 Wochen setzen. Das ist natürlich eine Frage der Abwägung, aber die muss eben informiert geschehen und die Sicherheit priorisieren. Beim Einsatz von Zertifikaten ist "es soll halt funktionieren" fast nie der richtige Ansatz. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.