Bisher wurden in Teil 3 Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen Zertifikatsvorlagen erstellt und Zertifikate manuell über MMC oder die Weboberfläche angefordert. In diesem Teil werden Zertifikate per GPO an Benutzer verteilt. Dieser Artikel ist Teil 4 der Serie Active Directory Zertifikatsdienste.

Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA

Active Directory Zertifikatsdienste (Teil 2): Installation der Zertifizierungsstellen-Webregistrierung

Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen

Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit Gruppenrichtlinien verteilen

Active Directory Zertifikatsdienste (Teil 5): Sperrlisten und Sperren eines Zertifikats

Active Directory Zertifikatsdienste (Teil 6): Enrollment Agents und Restricted Enrollment Agents

Active Directory Zertifikatsdienste (Teil 7): Schlüsselarchivierung und Key Recovery Agents

Active Directory Zertifikatsdienste (Teil 8): Sichern und Überwachen einer Enterprise Root-CA

Grundlagen

Einer der großen Vorteile einer Active Directory integrierten CA ist die Möglichkeit Zertifikate automatisch über Gruppenrichtlinien an Benutzer oder Computer zu verteilen. In dieser Übung wird Autoenrollment für die duplizierte Vorlage Basis-EFS konfiguriert. Die Vorlage dient der Verschlüsselung von Ordnerinhalten. Dazu gibt es bereits einen Artikel von mir:  EFS: Dateien verschlüsseln unter Windows

Damit alles klappt muss die Vorlage das Recht “Automatisch registrieren” unterstützen. Wie am Beispiel der vorkonfigurierten Vorlage Basis-EFS unterstützt diese die Einstellung nicht.

Daher muss eine eigene Vorlage erstellt werden.

Zertifikatsvorlage duplizieren

Am CA-Server öffnet man certtmpl.msc und klickt die Vorlage Basis-EFS mit der rechten Maustaste an und wählt Vorlage duplizieren. Unter der Registrierkarte Allgemein wählt man einen geeigneten Namen und die Gültigkeitsdauer.

Mit OK bestätigen.

Um Autoenrollment zu konfigurieren müssen Benutzer das Recht Lesen, Registrieren und Automatisch zugewiesen bekommen. Die Einstellung ist unter dem Reiter Sicherheit zu finden.

Mit OK bestätigen.

Ausstellen der Vorlage

Die Vorlage muss ausgestellt werden. Dazu einfach am CA-Server certsrv.msc öffnen und die Vorlage ausstellen.

Danach die Vorlage auswählen und mit OK bestätigen.

Nochmal checken.

Da die Vorlage nun konfiguriert und ausgestellt wurde kann mit der Einrichtung einer Gruppenrichtlinie begonnen werden.

Erstellen einer Gruppenrichtlinie

Auf einem Domain-Controller gpmc.msc öffnen. Auf Gruppenrichtlinienobjekte klicken und Neu wählen. Ein passender Name muss vergeben werden.

OK klicken. Dann mit der rechen Maustaste das GPO anklicken und Bearbeiten wählen.

Die Einstellung ist unter Benutzerkonfiguration – Richtlinien – Windows-Einstellungen – Sicherheitseinstellungen – Richtlinien für öffentliche Schlüssel zu finden und nennt sich Zertifikatsdienstclient – Automatische Registrierung.

Die Richtlinie muss aktiviert werden.

Mit OK bestätigen. Den Gruppenrichtlinien-Editor schließen.

Nun muss das GPO noch mit der Domäne, der OU oder einem Standort verknüpft werden. Ich verknüpfe das GPO mit der OU Mitarbeiter und ziehe es über die OU und lasse die Maustaste los.

Die Konfiguration ist abgeschlossen. Weiter gehts mit dem Testen der Gruppenrichtlinie.

Testen der Automatischen Registrierung über GPO

Ich starte einen Windows 10 Client der Active Directory Domäne und melde mich mit einem Benutzer der OU Mitarbeiter an.

Das Zertifikat ist in certmgr.msc unter Eigene Zertifikate – Zertifikate zu finden.

Taucht das Zertifikat nicht auf dann empfehle ich ein Logoff / Logon des Benutzers oder das Ausführen von

gpupdate /force

Sollte das Zertifikat nach diesen Maßnahmen immer noch nicht installiert sein, sollte überprüft werden, ob das GPO auch richtig verknüpft wurde.

gpresult /r 

Weiter gehts mit dem Thema Active Directory Zertifikatsdienste (Teil 5): Sperrlisten und Sperren eines Zertifikats