2008R264bit 10 Geschrieben 21. Oktober 2019 Melden Teilen Geschrieben 21. Oktober 2019 Hallo miteinander, auf mehreren 2012er Servern ist eine zweistufige PKI implementiert, die auch tut was sie soll. Jetzt möchte ich EFS aktivieren und dazu in der default Domain Policy unter Computerkonfiguration/ Windows-Einstellungen/ Richtlinien für öffentliche Schlüssel /Eigenschaften von "Verschlüsselndes Dateisystem" unter Reiter "Zertifikate" die EFS-Vorlage für automatische Zertifikatsanforderungen auf meine erstellte Zertifikatsvorlage ändern. Problem: wenn ich auf "durchsuchen" klicke erhalte ich den Fehler im Anhang. Rufe ich certtmpl.msc auf erscheinen die Vorlagen. Wie gesagt, die Vorlagen liegen im AD, die Zertifikate werden automatisch ausgestellt, nur hier in der GPO kann ich keine Vorlagen auswählen. Ich habe auch mal testweise die Standardvorlage "Basis-EFS" veröffentlicht. Das brachte aber auch keine Besserung. Vor dieser zweistufigen PKI gab es eine einstufige, kaum konfigurierte PKI von 2013, die nicht wirklich genutzt wurde. Diese wurde laut best practice deinstalliert. Aber vielleicht ist das die Ursache? Vielen dank im Voraus für eure Hilfe Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 21. Oktober 2019 Melden Teilen Geschrieben 21. Oktober 2019 Moin, du hast eine Vorlage angelegt, aber sie nicht veröffentlicht. Das ist im GUI leider getrennt. Du musst im GUI der CA (nicht in der Vorlagen-MMC) per Rechtsklick auf "Zertifikatsvorlagen" deine neu erzeugte Vorlage ausdrücklich hinzufügen. Gruß, Nils Zitieren Link zu diesem Kommentar
2008R264bit 10 Geschrieben 21. Oktober 2019 Autor Melden Teilen Geschrieben 21. Oktober 2019 Danke für die Antwort. Ich habe mehrere Vorlagen veröffentlicht. Die Zertifikate werden auch seit mehr als einem Jahr automatisch verteilt. Die PKI tut alles was sie soll und ist in pkiview auch grün. Nur in der GPO lässt sich keine Vorlage auswählen. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 21. Oktober 2019 Melden Teilen Geschrieben 21. Oktober 2019 Moin, okay, das hatte ich anders verstanden. In dem Fall sind die Berechtigungen auf der Vorlage der nächste Verdächtige. Das ist wiederum in der Vorlagen-MMC zu steuern. Gruß, Nils Zitieren Link zu diesem Kommentar
2008R264bit 10 Geschrieben 21. Oktober 2019 Autor Melden Teilen Geschrieben 21. Oktober 2019 (bearbeitet) deswegen hatte ich die Ur-Vorlage "Basis-EFS" veröffentlicht mit authentifizierte User lesen und registrieren. Hatte aber nichts genutzt. Wenn die User händisch ein Zertifikat beantragen, sehen sie auch die passenden Vorlagen. bearbeitet 21. Oktober 2019 von 2008R264bit Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 22. Oktober 2019 Melden Teilen Geschrieben 22. Oktober 2019 Moin, ich weiß nicht genau, was der GP-Editor an dieser Stelle macht. Vielleicht listet er nur die Vorlagen auf, die für Autoenroll berechtigt sind - ist das gegeben? Gruß, Nils Zitieren Link zu diesem Kommentar
2008R264bit 10 Geschrieben 22. Oktober 2019 Autor Melden Teilen Geschrieben 22. Oktober 2019 Hallo, die EFS-Vorlage hat für den Dom-Admin, den ich für die Gruppenrichtlinie nutze Autoenroll-Rechte. Wenn ich das für authUser mache, habe ich ruck-zuck massig Zertifikate ausgestellt. daher kann ich das nicht testen. Die Einstellung funktioniert aber grundsätzlich: Ich habe das Basis-EFS zur Veröffentlichung ausgestellt und einige User haben es anstelle ihres lokalen Zertifikates bekommen. Jetzt müsste sich das nur ändern lassen.... Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 22. Oktober 2019 Melden Teilen Geschrieben 22. Oktober 2019 Deswegen packt man sowas ja auch nicht in die Default Domain Policy. Zitieren Link zu diesem Kommentar
2008R264bit 10 Geschrieben 23. Oktober 2019 Autor Melden Teilen Geschrieben 23. Oktober 2019 Ob die Zertifikate ausgestellt werden, wenn autoenroll a geschaltet ist hat meiner Meinung nach nichts damit zu tun welche Policy gewählt wurde. Denn ich kann nichts anderes testen als "Basis-EFS" da sich das nicht ändern lässt. Ich hatte meine Frage hier gestellt um eine konstruktive Anwort zu erhalten. Meine Frage: Warum sehe ich meine Vorlagen nicht, obwohl sonst alles mit meiner PKI funktioniert? Fehlen eventuell Einträge im AD? vor 15 Stunden schrieb NorbertFe: Deswegen packt man sowas ja auch nicht in die Default Domain Policy. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 23. Oktober 2019 Melden Teilen Geschrieben 23. Oktober 2019 Technisch klar, aber dann hast du eben keine sinnvolle testmethode, weil man die ddp nicht filtert. Zitieren Link zu diesem Kommentar
2008R264bit 10 Geschrieben 23. Oktober 2019 Autor Melden Teilen Geschrieben 23. Oktober 2019 Ja, aber das Problem ist nicht dass es die ddp ist, sondern dass es entweder an den Berechtigungen der veröffentlichten Vorlagen liegt, oder an etwas was im AD fehlt. Ich würde ja eine Zertifikatsvorlage mit autoenroll für authUser freigeben. Aber das Zertifikat bekommen dann alle relativ schnell. Das teste ich vielleicht mal heute Abend, wenn die meisten Rechner heruntergefahren sind. Vor dieser zweistufigen PKI gab es eine einstufige, kaum konfigurierte PKI von 2013, die nicht wirklich genutzt wurde. Diese wurde laut best practice vor kurzem deinstalliert. Und natürlich aus dem AD gelöscht. Aber vielleicht ist das die Ursache? Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 23. Oktober 2019 Melden Teilen Geschrieben 23. Oktober 2019 (bearbeitet) Moin, dass die alte bzw. frühere PKI ein Problem ist, glaube ich nicht. Starte mal pkiview.msc - was taucht dort auf? Die "frühere" sollte nicht drin sein. Ich bin mit den Details der EFS-Steuerung mit PKI leider nicht vertraut, weil das höchst selten nachgefragt wird. Das heißt nicht, dass es nicht interessant sei, aber ich kann aus Erfahrung nichts beitragen. Ich schau mal ins PKI-Buch, ob ich da was finde. Edit: Nein, leider merkt das Buch zu diesem Punkt auch nichts an. Allerdings steht dort, dass das vordefinierte "Basis-EFS" eine Version-1-Vorlage ist, für die es gar kein Autoenroll gibt. Dieser Punkt ist dann offenkundig nicht relevant. Mangels passender Laborumgebung kann ich grad nix weiter tun. Gruß, Nils bearbeitet 23. Oktober 2019 von NilsK Zitieren Link zu diesem Kommentar
2008R264bit 10 Geschrieben 23. Oktober 2019 Autor Melden Teilen Geschrieben 23. Oktober 2019 vor 2 Minuten schrieb NilsK: Moin, dass die alte bzw. frühere PKI ein Problem ist, glaube ich nicht. Starte mal pkiview.msc - was taucht dort auf? Die "frühere" sollte nicht drin sein. Ich bin mit den Details der EFS-Steuerung mit PKI leider nicht vertraut, weil das höchst selten nachgefragt wird. Das heißt nicht, dass es nicht interessant sei, aber ich kann aus Erfahrung nichts beitragen. Ich schau mal ins PKI-Buch, ob ich da was finde. Gruß, Nils PKI View ist alles OK und die alte PKI ist sofort nach Löschung im ADDS verschwunden. Danke für deine Mühe. Als ich in der alten PKI kurz eine Zertifikatsvorlage freigegeben hatte konnte ich plötzlich Vorlagen in der GPO sehen. Die Namen waren aber alt, also falsch und nicht zu gebrauchen. Daher habe ich die obsolete PKI gelöscht in der Hoffnung, dass ich dann die aktuellen Vorlagen sehen kann. War zwar ein Schuss in den Ofen. Aber jetzt ist es schon sauberer. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 23. Oktober 2019 Melden Teilen Geschrieben 23. Oktober 2019 Moin, öh - es ist nicht ganz nachzuvollziehen, was du wann wo wie gemacht hast. Da das in einem Forum nicht so gut zu klären ist, wäre es evtl. sinnvoll, dir jemanden ins Haus zu holen, der sich mit dem Thema auskennt. Vermutlich muss gar nicht viel gemacht werden, aber per Forendiskussion bleiben zu viele Wenns und Abers offen. Gruß, Nils Zitieren Link zu diesem Kommentar
2008R264bit 10 Geschrieben 23. Oktober 2019 Autor Melden Teilen Geschrieben 23. Oktober 2019 kannst Du mir jemanden empfehlen? Zur Erstellung der PKI hatte ich mir Fachleute gebucht. Aber die haben einiges falsch gemacht, was wir im nachhinein glatt ziehen mussten. Von daher bin ich da vorsichtig.... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.