Jump to content

Zertifikat für Benutzer wird bei jeder Anmeldung an einem neuen Client per Autoenrollment erstellt

mcpuser

Von mcpuser
in Windows Server Forum

Direkt zur Lösung Gelöst von NilsK,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

mcpuser Rising Star

mcpuser   11

Geschrieben
Geschrieben

Hallo zusammen,

 

ich habe in einer Umgebung AutoEnrollment von Zertifikaten für Benutzer und Computer erstellt und aktiviert. Zertifikate werden schön erstellt. Nun ist mir aber aufgefallen das bei jeder Anmeldung an einem neuen Client das Benutzerzertifikat neu erstellt wird. 

 

Erwartet hätte ich nun das es 1 Zertifikat pro Benutzer gibt oder ist meine Annahme hier falsch? 

 

Benutzer meldet sich nach Aktivierung Auto-Registrierung zum ersten Mal an - Zertifikat wird erstellt und dieses wird auch benutzt egal an welchem Gerät sich der Benutzer dann im Laufe der Zukunft anmeldet.

 

Mache ich hier nun etwas falsch oder habe ich es einfach nicht richtig verstanden.

 

VG Wolfgang

Link zu diesem Kommentar
  • Beste Lösung
NilsK Grand Master

NilsK   2.939

Geschrieben
  • Beste Lösung
Geschrieben

Moin,

 

das ist "works as expected". Ein Zertifikat bestätigt, dass der Inhaber eines Public-Key-Paares derjenige ist, für den er sich ausgibt. Die Logik dahinter ist, dass nur dieser Inhaber Zugriff auf seinen Private Key hat. 

 

Der Private Key wird standardmäßig lokal in einem geschützten Bereich des Benutzerprofils gespeichert (vereinfacht gesagt). Auf einem "neuen" Rechner hat der User keine Kopie seines Private Keys (der soll ja schließlich privat sein und nicht wild durch die Gegend kopiert werden, schon gar nicht irgendwie automatisch). Also erzeugt Windows bei der Aufforderung, für den User ein Zertifikat zu erzeugen, ein neues Schlüsselpaar.

 

Ja, das wirft organisatorische Probleme auf, wenn Anwender an unterschiedlichen Rechnern arbeiten. Denn natürlich handelt es sich hierbei um unterschiedliche Zertifikate. Was der User in diesem Szenario also etwa mit seinem Private Key auf Rechner A verschlüsselt, kann er mit dem Public Key auf Rechner B nicht entschlüsseln.

 

Gruß, Nils

 

  • Danke 1
Link zu diesem Kommentar
mcpuser Rising Star

mcpuser   11

Geschrieben
  • Autor
Geschrieben
vor 4 Minuten schrieb NilsK:

 

 

Der Private Key wird standardmäßig lokal in einem geschützten Bereich des Benutzerprofils gespeichert (vereinfacht gesagt). Auf einem "neuen" Rechner hat der User keine Kopie seines Private Keys (der soll ja schließlich privat sein und nicht wild durch die Gegend kopiert werden, schon gar nicht irgendwie automatisch). Also erzeugt Windows bei der Aufforderung, für den User ein Zertifikat zu erzeugen, ein neues Schlüsselpaar.

 

 

 

Hallo Nils,

 

vielen Dank für deine Antwort. Verstehe, Ablage ist in meinem Kopf zentral und dann im Benutzerprofil verstehe. Gelöscht. 

 

VG Wolfgang

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.939

Geschrieben
Geschrieben

Moin,

 

oh, dass die Zertifikate Teil des Roaming Profiles sind, hatte ich gar nicht auf dem Schirm. (Für Evgenij: beides böse.)

 

Das mit Credential Roaming musste ich nie machen, habe ich keine Erfahrung mit. Kann sicher das eine oder andere abmildern - wenn man es denn will. Aus prinzipieller Sicht ist das nicht nur eine gute Idee.

 

Gruß, Nils

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...