Domänenzertifikate - AutoEnrollment

[LK28 11]

Hallo,

 

ich habe auf unseren DCs jeweils ein Domänenzertifikat für LDAPS aktiviert. Läuft dieses Jahr aus.

 

Würde gerne das Auto Enrollment für diese beiden aktivieren, falls man es doch mal vergisst manuell zu verlängern.

 

Die Domaincontroller haben das recht "Registrieren" und "Automatisch Registrieren"

 

Allerdings fehlt noch die GPO unter Computer Konfiguration > Windows Settings > Sicherheitseinstellungen > Richtlinien für automatische Schlüssel -> Automatische Registrierung

 

Muss die GPO heutzutage noch aktiviert werden, oder reicht die Berechtigung "Automatisch Registrieren" auf der Zertifikatsvorlage?

Gibt es etwas, was dagegen spricht, das AutoEnrollment für die DC-Zertifikate zu aktivieren?

 

Danke Euch

 

Edit: Wenn ich jetzt die GPO aktiviere, würden die DCs sich sicherlich direkt ein neues Zertifikat ziehen? Nehme ich denen dann das Recht "Automatisch Registrieren" raus?

Jemand eine Idee, wie man das am besten macht?

bearbeitet vor 2 Stunden von LK28

[NorbertFe 2.295]

Hi,

 

wenn du eh schon dran bist, auf welcher Vorlage basiert denn das Zertifikat, welches deine DCs nutzen? Wenns Domaincontroller ist, dann brauchst du nichts tun, denn das ist hardcoded für die Erneuerung. Es wird allerdings nicht mehr empfohlen, sondern verwende lieber die Vorlage für die Kerberos-Authentifizierung. Für das musst du dann natürlich die Automatische Registrierung in der Vorlage aktivieren und den Enrollmentclient aktivieren.

[LK28 11]

Hi,

 

ich habe die Vorlage Kerberos Authentifizierung dupliziert. Folgende Eigenschaften: Server - und Client Authentifizierung, Smart Card und KDC Authentifizierung. SAN nicht aktiviert.. sprich Name kommt aus dem AD.

 

Also müsste ich in dem Fall die GPO aktivieren?

[NorbertFe 2.295]

Ja, musst du. Gibts Gründe, warum du die Optionen deaktiviert hast?

[LK28 11]

Wenn ich nun die GPO aktiviere, ziehen die DCS sich sofort ein neues Zertifikat obwohl das jetzige noch Monate lang aktiv ist?

 

Wird zumindest hier https://www.escde.net/blog/dc-zertifikat-autoenrollment-teil-1 so beschrieben, dass man auf der Vorlage "Automatisch Registrieren" herausnehmen soll

 

Wann setzt man das Recht auf Automatisch Registrieren dann wieder?

 

P.S. Warum die GPO nicht aktiv ist, weiß ich nicht. Ich habe das Zertifikat selber auch nicht ausgestellt bzw. die Vorlage erstellt

[cj_berlin 1.513]

Moin,

aber habt ihr auch tatsächlich einen Use Case für LDAPS? Denn nur dann lohnt es sich, den ganzen Aufwand zu betreiben.

[LK28 11]

vor 3 Minuten schrieb cj_berlin:

Moin,

aber habt ihr auch tatsächlich einen Use Case für LDAPS? Denn nur dann lohnt es sich, den ganzen Aufwand zu betreiben.

PAM Software im Einsatz.. Automatische Passwort Rotation etc.

 

Wäre cool, wenn nochmal Jemand was zu meiner vorherigen Frage sagen könnte, falls bekannt

[cj_berlin 1.513]

In dem von Dir verlinkten Artikel sehe ich nicht, dass man das Recht "Automatisch registrieren" herausnehmen soll - man soll vielmehr verifizieren, DASS es besteht??? 

Oder was war Deine Frage?

Und zur Zeitschiene der Ablösung: Wenn Deine PAM-Software nicht ein bestimmtes Zertifikat auf den DCs erwartet, das man dort händisch hochladen soll, ist es doch kein Problem, wenn lange vor Ablauf ein {vertrauenswürdiges Zertifikat mit korrekten Namen und EKUs} gegen ein anderes {vertrauenswürdiges Zertifikat mit korrekten Namen und EKUs} ausgetauscht wird?

[LK28 11]

Entschuldige, hätte es spezifizieren sollen, statt hoffen, dass man die Stelle findet, die ich meine :)

 

Ich meine folgendes:

Achtung: Bei der erstmaligen Aktivierung der Richtlinie muss darauf geachtet werden, welche Zertifikate bereits für den oder die Domain Controller ausgestellt worden sind. Sollten bereits Zertifikate, die Zertifikatsvorlagen nutzen, ausgestellt worden sein, werden diese Zertifikate ebenfalls aktualisiert und ggf. abgeändert. Da dies in der Regel nicht gewünscht ist, muss die Zertifikatsvorlage des entsprechenden Zertifikats angepasst werden, sodass dem Domain Controller die Autoenroll Berechtigung entfernt wird. Damit ist gewährleistet, dass die bestehenden Zertifikate durch Aktivierung der Gruppenrichtlinie nicht verändert werden

[cj_berlin 1.513]

Ja, und gibt es die konkret bei Dir? Du kannst ja certlm.msc auf einem DC öffnen und schauen, welche Vorlagen für einen DC überhaupt zum Enrollment angeboten werden, um dann zu überprüfen, welche von ihnen auf Autoenroll für DCs, Domain Computers oder Authenticated Users stehen (letzteres sollte es grundsätzlich nicht geben).

[LK28 11]

Die Vorlage, auf der meine DCs ihre jetzigen Zertifikate ausgestellt haben, wird angezeigt/angeboten, wenn ich auf dem DC ein neues Zertifikat anfordern möchte. Auf der Vorlage besitzen die DCs ja auch das Recht "Automatisch Registrieren"

 

Würden Sie das Recht nicht besitzen oder die Vorlage nicht angeboten werden, würde ich mir keine Sorgen um die Aktivierung der GPO machen

 

 

Edit: was mir dann nicht ganz klar ist:

 

Wenn ich den DCs das Recht zum AutoEnrollment wegnehme und die GPO aktiviere.. wann gebe ich den DCs das Recht auf AntoEnrollment dann wieder? Sie brauchen es ja

bearbeitet vor 1 Stunde von LK28

[NorbertFe 2.295]

Wenn nur Zertifikate auf Basis derselben Vorlage erstellt werden, wird dort keine  neues Zertifikat bezogen. Wäre mir jedenfalls neu. Aber selbst wenn, wo ist denn das Problem?