AMiGA 0 Geschrieben 18. März 2019 Melden Teilen Geschrieben 18. März 2019 Hallo, in einem AD mit interner CA haben wir eine (Benutzer-)Zertifikatvorlage, deren Zertifikate eine Gültigkeit von 6 Monaten haben. Als Erneuerungszeitraum haben wir 3 Monate konfiguriert. Mitglieder einer bestimmten AD-Sicherheitsgruppe haben die Berechtigungen Lesen, Registrieren und Automatisch registrieren. In einer GPO ist unter Benutzerkonfiguration / Richtlinien / Windows-Einstellungen / Sicherheitseinstellungen / Richtlinien für öffentliche Schlüssel / Zertifikatdienstclient - Automatische Registrierung aktiviert, so dass abgelaufene Zertifikate erneuert werden sollen. Das GPO greift auch, die Zertifikate werden automatisch bei der CA beantragt und registriert. Nun zum seltsamen Verhalten: ca. 4 Wochen vor Ablauf eines Benutzerzertifikats wird ein neues Zertifikat durch die CA ausgestellt und im AD-Konto des Benutzers hinterlegt. Zu diesem Zeitpunkt ist der Benutzer aber überhaupt nicht online, d.h. weder an einem AD-Computer angemeldet, noch per ActiveSync noch per VPN-Client verbunden. Benutzer, die zu genau diesem Zeitpunkt (längere Zeit) außer Haus sind, können daraufhin die Applikation, in der das Zertifikat genutzt wird nicht mehr benutzen, da sie auf ihrem Rechner das neue Zertifikat noch gar nicht haben. Kann man dieses Verhalten beeinflussen, so dass die Erneuerung von Zertifikaten nur stattfindet, wenn ein Benutzer auch im AD angemeldet ist? Viele Grüße, AMiGA Zitieren Link zu diesem Kommentar
AMiGA 0 Geschrieben 21. März 2019 Autor Melden Teilen Geschrieben 21. März 2019 Hat jemand vielleicht eine Idee, wo man technische Informationen zum Ablauf der Benutzerzertifikat-Erneuerung bekommen kann? Ich finde im Netz nicht wirklich eine Erklärung des Mechanismus. Viele Grüße, AMiGA Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.