RalphT 15 Geschrieben 28. Januar 2019 Melden Geschrieben 28. Januar 2019 Moin, ich habe eine 2-stufige PKI. Auf jedem Server/Client in der Domäne sind Einträge im lokalen Zertifikatsspeicher unter "Zwischenzertifizierungsstellen". Dort ist das ROOT und SUB-Zertifikat zu finden. Bei einem Client habe ich das mal gelöscht. Nach dem Neustart des Clients waren die beiden Zertifkate nicht mehr da. Wie kommen diese Einträge dort hin? Wozu dienen diese beiden Zertifkate an diesem Speicherort? Der Eintrag vom ROOT-Zertifikat ist unter "Stammzertifizierungsstellen" weiterhin zu finden. Dort sorgt ja eine GPO für die Verteilung. Zitieren
tesso 382 Geschrieben 28. Januar 2019 Melden Geschrieben 28. Januar 2019 Die Zertifikate sollten durch das AD verteilt werden. Normalerweise sind diese im AD hintelegt. Du kannst auch eine GPO bauen, die das für dich erledigt. Zitieren
RalphT 15 Geschrieben 28. Januar 2019 Autor Melden Geschrieben 28. Januar 2019 vor 11 Minuten schrieb tesso: Du kannst auch eine GPO bauen, die das für dich erledigt Daran hatte ich schon gedacht, mir dann aber überlegt, dass das ja vorher auch immer so funktionierte. Ich hatte mir über diesen Speicherort bislang keine Gedanken gemacht. Wie lange muss man da denn warten? Ein gpupdate half hier auch nicht. Eigentlich nicht weiter wild, denn die Zertifkate an den wichtigen Orten sind ja vorhanden. Zitieren
NilsK 2.991 Geschrieben 28. Januar 2019 Melden Geschrieben 28. Januar 2019 Moin, und was ist jetzt deine Frage? Gruß, Nils Zitieren
RalphT 15 Geschrieben 28. Januar 2019 Autor Melden Geschrieben 28. Januar 2019 Ich wollte eigentlich nur wissen, wie diese Einträge in dem lokalen Zertifikatsspeicher unter "Zwischenzertifizierungsstellen" erscheinen. Irgenwie scheint das automatisch nicht zu funktionieren. Bislang ist mir das nie aufgefallen, da diese Einträge eigentlich bei jedem Client auch immer vorhanden sind. (Wenn man sie nicht händisch löscht) Zitieren
Beste Lösung NilsK 2.991 Geschrieben 28. Januar 2019 Beste Lösung Melden Geschrieben 28. Januar 2019 Moin, dazu gibt es zwei Wege: die CA-Zertifikate einer Enterprise-CA holt sich ein Client selbst, wenn er über das AD die CA entdeckt für alle CA-Typen können die Zertifikate auch per GPO verteilt werden Oft macht man beides parallel, um sicherzugehen, dass die Zertifikate ankommen. Die Clients brauchen diese, damit sie den CAs vertrauen und von diesen ausgestellte Zertifikate akzeptieren. Gruß, Nils Zitieren
RalphT 15 Geschrieben 28. Januar 2019 Autor Melden Geschrieben 28. Januar 2019 Alles klar, danke Dir! Ich hatte das zwar nur testweise gelöscht, aber vielleicht sollte ich dafür zusätzlich ein GPO verwenden. Das ist dann wohl doch sicherer. Gerade eben hatte ich noch folgendes ausprobiert: Client aus Domäne raus und rein. Danach waren die Einträge wieder da. Zitieren
NilsK 2.991 Geschrieben 28. Januar 2019 Melden Geschrieben 28. Januar 2019 Moin, das wird dann der erste Mechanismus sein. Möglicherweise hätte es auch so eine Aktualisierung gegeben, aber dazu weiß ich die Details nicht aus dem Kopf. Gruß, Nils Zitieren
tesso 382 Geschrieben 28. Januar 2019 Melden Geschrieben 28. Januar 2019 certutil -pulse oder gpupdate /force oder 8 Stunden warten. Alles nur aus dem Gedächtnis und keine Gewähr auf Richtigkeit. Ich meine aber so waren die Zeiten für das "holen" der Zertifikate aus dem AD. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.