StefanWe 14 Geschrieben 28. Februar 2013 Melden Teilen Geschrieben 28. Februar 2013 Hallo, wir haben hier ein Active Directory, aber 2 Enterprise CA's. Nun ist es leider so, dass Standardmäßig alle Clients sich versuchen die Zertifikate von der 1. (älteren) CA zu holen. Ist es möglich, per GPO die CA anzugeben, wo die Zertifikate angefragt werden sollen, wenn ja, wo? ;) Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 1. März 2013 Melden Teilen Geschrieben 1. März 2013 Hi, Ihr braucht nur die Zertifikat-Templates ausschließlich auf der CA veröffentlichen, die die Zertifikate auch ausstellen soll. Der PKI-Client fragt bei aktiviertem Auto-Enrollment immer alle Enterprise CAs an, prüft die Berechtigung auf der CA und/oder den auf dieser CA veröffentlichten Templates und schaut, ob er ausrollen soll und darf. Was also auf einer CA als Template nicht veröffentlicht ist, kann auch nicht abgefragt werden. :) P.S.: Ab Windows Server 2012 können auch AD-Sites genutzt werden, um den Clients eine "lokale CA" zu geben. Aber ich vermute das ist (noch) kein Thema oder? Viele Grüße olc Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 1. März 2013 Autor Melden Teilen Geschrieben 1. März 2013 och, das ist ja nen Ding. Dann weiß ich ja Bescheid. Ist das bei dem WebDienst https://<caiisservername>/certsrv auch der Fall? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 2. März 2013 Melden Teilen Geschrieben 2. März 2013 Hi, Wie meinst Du das genau? Die Webseite greift auf eine CA zu (lokal oder diejenige, die Du konfiguriert hast). Von dieser CA zieht sich die Webseite auch die Templates. Ist ein Templates für eine CA nicht mehr freigegeben, kann die Webseite daran nichts ändern und gibt nur diejenigen Templates an, die auf der CA veröffentlicht wurden. Viele Grüße olc Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 12. März 2013 Autor Melden Teilen Geschrieben 12. März 2013 das funktioniert soweit auch. Aber ich kann ja per GPO eine anforderungsrichtlinie definieren. Nur versteh ich die Syntax nicht so ganz, wie ich hier die CA hinterlegen soll, dass die Benutzer ausschließlich von dieser CA die Zertifikate anfragen. Mein Problem ist, wir haben vor Jahren eine Enterprise CA installiert um ein Exchange Zertifikat zu erstellen. Hier hätte natürlich auch eine Standard CA gereicht. Aber so ist es nun mal. Problem ist nun, dass die Computer sich die Zertifikate erst von der alten CA anfragen.. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 13. März 2013 Melden Teilen Geschrieben 13. März 2013 Hi, Ich habe Dir die Antwort doch schon gegeben. Hast Du Dir das angeschaut? Viele Grüße olc Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 14. März 2013 Autor Melden Teilen Geschrieben 14. März 2013 Sorry, ich der Web Enrollment Seite ist es mir nun klar. Mir geht es aktuell um die automatische registrierung von Zertifikaten. Die Clients fragen ja bei allen CA's an und die, die zu erst antwortet, stellt das Zertifikat aus. Ich habe nun erstmal die eine CA gestoppt. Aber scheinbar gibt es da keine Möglichkeit das einzugrenzen. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 14. März 2013 Melden Teilen Geschrieben 14. März 2013 Hi, ich wiederhole ;) mich wenn ich sage, daß die Clients nur von den Enterprise CAs Zertifikate auf Basis eines Templates bekommen, auf denen diese Templates eben freigegeben wurden. D.h. auch hier: Entferne das Template von der CA, damit erledigt sich das Problem. Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.