Windows PKI - Zertifikatstemplate löschen und Zertifikate auf den Windows PC löschen

[scout71 0]

Hallo Forum,

 

ich möchte ein Computer - Zertifikat aus der Windows PKI nicht mehr verteilen / erneuern lassen auf den Windows PCs.

Wie bekomme ich die Computerzertifikate auf den Windows PCs im lokalen Zertifikatsspeicher gelöscht ?

 

Wenn ich das Zertifikatstemplate löschen bleibt das Computer - Zertifikat im lokalen Zertifikatsspeicher erhalten (ist als abgelaufen gekennzeichnet).

 

Eine Methode wäre das Löschen per MECM und Configuration Baseline / Remediation Script.

 

Gibt es eine andere Methode ?

 

Nette Grüße

Scout71

[v-rtc 94]

Hallo,

 

per GPO wäre es möglich. Gründe warum du es löschen willst?

 

Grüße

[NorbertFe 2.374]

vor 38 Minuten schrieb v-rtc:

per GPO wäre es möglich.

Aha, wie denn? Abgesehen von Skript per GPO zuweisen?

[NilsK 3.104]

Moin,

 

die Zertifikatsvorlage zu löschen, verhindert ja nur, das neue Zertifikate ausgestellt werden. Damit wäre diese Anforderung ja erfüllt:

 

vor 2 Stunden schrieb scout71:

ich möchte ein Computer - Zertifikat aus der Windows PKI nicht mehr verteilen / erneuern lassen auf den Windows PCs.

 

Ich nehme mal an, damit meinst du nicht "ein" Zertifikat, sondern "keine Zertifikate auf Basis dieser Vorlage"?

 

Die ausgestellten Zertifikate von den Endpunkten zu entfernen, ist ja eine ganz andere Aufgabe. Erster Schritt wäre, diese Zertifikate zu sperren und die CRL neu auszustellen. Danach käme der Prozess zur Entfernung, was per Skript oder mit anspruchsvollen Client-Management-Lösungen ginge. Aber bevor du da tiefer einsteigst: Was ist denn der Use Case, also warum willst du die Zertifikate entfernen? Je nach Nutzung kann es sein, dass dieser Schritt das eigentliche Problem gar nicht löst.

 

Gruß, Nils

 

[scout71 0]

vor 18 Stunden schrieb NilsK:

 

die Zertifikatsvorlage zu löschen, verhindert ja nur, das neue Zertifikate ausgestellt werden. Damit wäre diese Anforderung ja erfüllt:

 

 

Ich nehme mal an, damit meinst du nicht "ein" Zertifikat, sondern "keine Zertifikate auf Basis dieser Vorlage"?

 

Die ausgestellten Zertifikate von den Endpunkten zu entfernen, ist ja eine ganz andere Aufgabe. Erster Schritt wäre, diese Zertifikate zu sperren und die CRL neu auszustellen. Danach käme der Prozess zur Entfernung, was per Skript oder mit anspruchsvollen Client-Management-Lösungen ginge. Aber bevor du da tiefer einsteigst: Was ist denn der Use Case, also warum willst du die Zertifikate entfernen? Je nach Nutzung kann es sein, dass dieser Schritt das eigentliche Problem gar nicht löst.

 

Gruß, Nils

 

Ja, richtig - es sollen keine Zertifikate auf Basis der Zertifikatsvorlage ausgestellt / verlängert werden. 

Das Sperren bzw. der Zertifikatsablauf funktioniert soweit auch.

 

Ich möchte die Zertifikate aus dem lokalen Zertifikatsspeicher aus dem Computer aus optischen Gründen löschen bzw. das ein manuelles Einsetzen z.B. im IIS verhindert wird.

 

Nette Grüße

Scout71

[cj_berlin 1.557]

Moin,

 

dann Skript per GPO als Startup / Logon oder Scheduled Task.

 

Wenn man keinen Wert auf das Mitlöschen der Private Keys legt, könnte man natürlich aus den Daten der Zertifizierungsstelle eine Registry-Lösch-GPP bauen  Dies soll keine Empfehlung sein, sondern nur das Ergebnis meines Nachdenkens über @v-rtc's GPO-Einwurf darstellen...

[NilsK 3.104]

Moin,

 

Zitat

Ich möchte die Zertifikate aus dem lokalen Zertifikatsspeicher aus dem Computer aus optischen Gründen löschen

 

hm ... nun ja. Ich würde auf sowas keine Zeit verwenden.

 

vor 5 Stunden schrieb scout71:

bzw. das ein manuelles Einsetzen z.B. im IIS verhindert wird

 

Ungefähr sowas meine ich damit, dass das eigentliche Problem gar nicht gelöst wird. Mit dem Zertifikat weist der Computer seine Identität nach, mehr nicht. Wenn du einen Zugriff auf eine andere Stelle verhindern willst, musst du das an der Stelle tun. Soll also der Computer nicht auf den Webserver zugreifen, dann verhindere das dort.

 

Gruß, Nils