Jump to content

Unternehmens PKI, Zertifikatsvorlagen in GPO nicht aufrufbar


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo miteinander,

 

auf mehreren 2012er Servern ist eine zweistufige PKI implementiert, die auch tut was sie soll.

Jetzt möchte ich EFS aktivieren und dazu in der default Domain Policy unter Computerkonfiguration/ Windows-Einstellungen/ Richtlinien für öffentliche Schlüssel /Eigenschaften von "Verschlüsselndes Dateisystem" unter Reiter "Zertifikate" die EFS-Vorlage für automatische Zertifikatsanforderungen auf meine erstellte Zertifikatsvorlage ändern.

Problem: wenn ich auf "durchsuchen"  klicke erhalte ich den Fehler im Anhang. Rufe ich certtmpl.msc auf erscheinen die Vorlagen.

 

Wie gesagt, die Vorlagen liegen im AD, die Zertifikate  werden automatisch ausgestellt, nur hier in der GPO kann ich keine Vorlagen auswählen.

Ich habe auch mal testweise die Standardvorlage "Basis-EFS" veröffentlicht. Das brachte aber auch keine Besserung.

 

Vor dieser zweistufigen PKI gab es eine einstufige, kaum konfigurierte PKI von 2013, die nicht wirklich genutzt wurde. Diese wurde laut best practice deinstalliert.

Aber vielleicht ist das die Ursache?

 

Vielen dank im Voraus für eure Hilfe

Fehler_Vorlagen.jpg

Link zu diesem Kommentar

Hallo,

die EFS-Vorlage hat für den Dom-Admin, den ich für die Gruppenrichtlinie nutze Autoenroll-Rechte.

Wenn ich das für authUser mache, habe ich ruck-zuck massig Zertifikate ausgestellt. daher kann ich das nicht testen.

Die Einstellung funktioniert aber grundsätzlich: Ich habe das Basis-EFS zur Veröffentlichung ausgestellt und einige User haben es anstelle ihres lokalen Zertifikates bekommen.

Jetzt müsste sich das nur ändern lassen....

Link zu diesem Kommentar

Ob die Zertifikate ausgestellt werden, wenn autoenroll a geschaltet ist hat meiner Meinung nach nichts damit zu tun welche Policy gewählt wurde.

Denn ich kann nichts anderes testen als "Basis-EFS" da sich das nicht ändern lässt.

Ich hatte meine Frage hier gestellt um eine konstruktive Anwort zu erhalten.

Meine Frage: Warum sehe ich meine Vorlagen nicht, obwohl sonst alles mit meiner PKI funktioniert?

Fehlen eventuell Einträge im AD?

vor 15 Stunden schrieb NorbertFe:

Deswegen packt man sowas ja auch nicht in die Default Domain Policy.

 

Link zu diesem Kommentar

Ja, aber das Problem ist nicht dass es die ddp ist, sondern dass es entweder an den Berechtigungen der veröffentlichten Vorlagen liegt, oder an etwas was im AD fehlt.

Ich würde ja eine Zertifikatsvorlage mit autoenroll für authUser freigeben. Aber das Zertifikat bekommen dann alle relativ schnell.

Das teste ich vielleicht mal heute Abend, wenn die meisten Rechner heruntergefahren sind.

 

Vor dieser zweistufigen PKI gab es eine einstufige, kaum konfigurierte PKI von 2013, die nicht wirklich genutzt wurde. Diese wurde laut best practice vor kurzem deinstalliert.

Und natürlich aus dem AD gelöscht. Aber vielleicht ist das die Ursache?

Link zu diesem Kommentar

Moin,

 

dass die alte bzw. frühere PKI ein Problem ist, glaube ich nicht. Starte mal pkiview.msc - was taucht dort auf? Die "frühere" sollte nicht drin sein.

 

Ich bin mit den Details der EFS-Steuerung mit PKI leider nicht vertraut, weil das höchst selten nachgefragt wird. Das heißt nicht, dass es nicht interessant sei, aber ich kann aus Erfahrung nichts beitragen. Ich schau mal ins PKI-Buch, ob ich da was finde.

 

Edit: Nein, leider merkt das Buch zu diesem Punkt auch nichts an. Allerdings steht dort, dass das vordefinierte "Basis-EFS" eine Version-1-Vorlage ist, für die es gar kein Autoenroll gibt. Dieser Punkt ist dann offenkundig nicht relevant.

 

Mangels passender Laborumgebung kann ich grad nix weiter tun.

 

Gruß, Nils

 

bearbeitet von NilsK
Link zu diesem Kommentar
vor 2 Minuten schrieb NilsK:

Moin,

 

dass die alte bzw. frühere PKI ein Problem ist, glaube ich nicht. Starte mal pkiview.msc - was taucht dort auf? Die "frühere" sollte nicht drin sein.

 

Ich bin mit den Details der EFS-Steuerung mit PKI leider nicht vertraut, weil das höchst selten nachgefragt wird. Das heißt nicht, dass es nicht interessant sei, aber ich kann aus Erfahrung nichts beitragen. Ich schau mal ins PKI-Buch, ob ich da was finde.

 

Gruß, Nils

 

PKI View ist alles OK und die alte PKI ist sofort nach Löschung im ADDS verschwunden. Danke für deine Mühe.

Als ich in der alten PKI kurz eine Zertifikatsvorlage freigegeben hatte konnte ich plötzlich Vorlagen in der GPO sehen. Die Namen waren aber alt, also falsch und nicht zu gebrauchen.

Daher habe ich die obsolete PKI gelöscht in der Hoffnung, dass ich dann die aktuellen Vorlagen sehen kann.

War zwar ein Schuss in den Ofen. Aber jetzt ist es schon sauberer.

Link zu diesem Kommentar

Moin,

 

öh - es ist nicht ganz nachzuvollziehen, was du wann wo wie gemacht hast. Da das in einem Forum nicht so gut zu klären ist, wäre es evtl. sinnvoll, dir jemanden ins Haus zu holen, der sich mit dem Thema auskennt. Vermutlich muss gar nicht viel gemacht werden, aber per Forendiskussion bleiben zu viele Wenns und Abers offen.

 

Gruß, Nils

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...