theonlybrand 0 Geschrieben 23. Dezember 2016 Melden Teilen Geschrieben 23. Dezember 2016 Hallo zusammen, folgendes Frage stelle ich mir nun schon seit einigen Tagen, komme aber auf keinen grünen Zweig. Ich habe in meiner PKI eine SubCA separat vom DC erstellt, diese soll über die GPO per Autoenrollment die Zertifikate in der AD verteilen. Frage: Kann ich das Zertifikat von der SubCA auf den DC schieben, damit dieser dann die Zertifikate verteilt? Oder braucht der DC auch die Funktionalitäten einer SubCA?Danke im Voraus. Frohe Weihnachten und einen guten Rutsch wünscht euch theonlybrand Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 23. Dezember 2016 Melden Teilen Geschrieben 23. Dezember 2016 Kannst du das nochmal so beschreiben, dass man dein Problem versteht? Zitieren Link zu diesem Kommentar
theonlybrand 0 Geschrieben 23. Dezember 2016 Autor Melden Teilen Geschrieben 23. Dezember 2016 Klar kein Problem Norbert, Ich habe in meiner Testumgebung eine Root-Zertifizierungsstelle und eine untergeordnete Zertifizierungsstelle erstellt. Die RootCA stellt ein Zertifikat an die SubCA aus. Nun möchte ich, dass das Zertifikat der SubCA in unserer AD über die Gruppenrichtlinien ausgerollt wird. SubCA und DC sind auf zwei separaten VM´s installiert. Frage: Kann ich das Zertifikat der SubCA auf den DC übertragen, es dann per Gruppenrichtlinien an die AD User ausrollen? Zitieren Link zu diesem Kommentar
testperson 1.708 Geschrieben 23. Dezember 2016 Melden Teilen Geschrieben 23. Dezember 2016 Hi, ja, das geht. Du nimmst das SubCA (ohne privaten Schlüssel) und kopierst es auf einen Share. Dann nimmst du die Gruppenrichtlinienverwaltung und nimmst eine vorhandene GPO / erstellst eine neue GPO in der du unter Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinie für öffentliche Schlüssel -> Zwischenzertifizierungsstellen das SubCA importierst. Ggfs. machst du das dann direkt fürs RootCA auch, allerdings das RootCA dann in Vertrauenswürdige Zertifizierungsstellen importieren. Die RootCA läuft wo? Gruß Jan Zitieren Link zu diesem Kommentar
theonlybrand 0 Geschrieben 23. Dezember 2016 Autor Melden Teilen Geschrieben 23. Dezember 2016 Hallo Jan, die RootCA ist offline, das Root Zertifikat habe ich bereits auf der SubCA als vertrauenswürdiges Zertifikat importiert. Das Root Zertifikat möchte ich eigentlich nicht auf dem DC haben, da ich später eine zweite SubCA aufsetzen will, um Zertifikate an Kunden verteilen zu können. Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 23. Dezember 2016 Melden Teilen Geschrieben 23. Dezember 2016 Ist die SubCA AD integriert. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 23. Dezember 2016 Melden Teilen Geschrieben 23. Dezember 2016 Moin, Das Root Zertifikat möchte ich eigentlich nicht auf dem DC haben, da ich später eine zweite SubCA aufsetzen will, um Zertifikate an Kunden verteilen zu können. Wie soll der Root CA, und damit der gesamten PKI, vertraut werden, wenn das Root Zertifikat nicht veröffentlicht wird? Der Zusammenhang mit einer weiteren Sub CA erschließt sich mir gerade nicht. Zitieren Link zu diesem Kommentar
Beste Lösung theonlybrand 0 Geschrieben 23. Dezember 2016 Autor Beste Lösung Melden Teilen Geschrieben 23. Dezember 2016 SubCA ist AD integriert. Da hast du recht Dunkelmann, das war irgendwie Quark. Muss wohl der Glühwein sein ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.