SID-500

Home » Security » Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit Gruppenrichtlinien verteilen

Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit Gruppenrichtlinien verteilen

Bisher wurden in Teil 3 Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen Zertifikatsvorlagen erstellt und Zertifikate manuell über MMC oder die Weboberfläche angefordert. In diesem Teil werden Zertifikate per GPO an Benutzer verteilt. Dieser Artikel ist Teil 4 der Serie Active Directory Zertifikatsdienste.


Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA

Active Directory Zertifikatsdienste (Teil 2): Installation der Zertifizierungsstellen-Webregistrierung

Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen

Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit Gruppenrichtlinien verteilen

Active Directory Zertifikatsdienste (Teil 5): Sperrlisten und Sperren eines Zertifikats

Active Directory Zertifikatsdienste (Teil 6): Enrollment Agents und Restricted Enrollment Agents

Active Directory Zertifikatsdienste (Teil 7): Schlüsselarchivierung und Key Recovery Agents

Active Directory Zertifikatsdienste (Teil 8): Sichern und Überwachen einer Enterprise Root-CA


Grundlagen

Einer der großen Vorteile einer Active Directory integrierten CA ist die Möglichkeit Zertifikate automatisch über Gruppenrichtlinien an Benutzer oder Computer zu verteilen. In dieser Übung wird Autoenrollment für die duplizierte Vorlage Basis-EFS konfiguriert. Die Vorlage dient der Verschlüsselung von Ordnerinhalten. Dazu gibt es bereits einen Artikel von mir:  EFS: Dateien verschlüsseln unter Windows

Damit alles klappt muss die Vorlage das Recht “Automatisch registrieren” unterstützen. Wie am Beispiel der vorkonfigurierten Vorlage Basis-EFS unterstützt diese die Einstellung nicht.

1.PNG

Daher muss eine eigene Vorlage erstellt werden.

Zertifikatsvorlage duplizieren

Am CA-Server öffnet man certtmpl.msc und klickt die Vorlage Basis-EFS mit der rechten Maustaste an und wählt Vorlage duplizieren. Unter der Registrierkarte Allgemein wählt man einen geeigneten Namen und die Gültigkeitsdauer.

2.PNG

Mit OK bestätigen.

Um Autoenrollment zu konfigurieren müssen Benutzer das Recht Lesen, Registrieren und Automatisch zugewiesen bekommen. Die Einstellung ist unter dem Reiter Sicherheit zu finden.

3.PNG

Mit OK bestätigen.

Ausstellen der Vorlage

Die Vorlage muss ausgestellt werden. Dazu einfach am CA-Server certsrv.msc öffnen und die Vorlage ausstellen.

4.PNG

Danach die Vorlage auswählen und mit OK bestätigen.

5.PNG

Nochmal checken.

6.PNG

Da die Vorlage nun konfiguriert und ausgestellt wurde kann mit der Einrichtung einer Gruppenrichtlinie begonnen werden.

Erstellen einer Gruppenrichtlinie

Auf einem Domain-Controller gpmc.msc öffnen. Auf Gruppenrichtlinienobjekte klicken und Neu wählen. Ein passender Name muss vergeben werden.

7.PNG

OK klicken. Dann mit der rechen Maustaste das GPO anklicken und Bearbeiten wählen.

8.PNG

Die Einstellung ist unter Benutzerkonfiguration – Richtlinien – Windows-Einstellungen – Sicherheitseinstellungen – Richtlinien für öffentliche Schlüssel zu finden und nennt sich Zertifikatsdienstclient – Automatische Registrierung.

9.PNG

Die Richtlinie muss aktiviert werden.

10.PNG

Mit OK bestätigen. Den Gruppenrichtlinien-Editor schließen.

Nun muss das GPO noch mit der Domäne, der OU oder einem Standort verknüpft werden. Ich verknüpfe das GPO mit der OU Mitarbeiter und ziehe es über die OU und lasse die Maustaste los.

11.PNG

Die Konfiguration ist abgeschlossen. Weiter gehts mit dem Testen der Gruppenrichtlinie.

Testen der Automatischen Registrierung über GPO

Ich starte einen Windows 10 Client der Active Directory Domäne und melde mich mit einem Benutzer der OU Mitarbeiter an.

Das Zertifikat ist in certmgr.msc unter Eigene Zertifikate – Zertifikate zu finden.

12.PNG

Taucht das Zertifikat nicht auf dann empfehle ich ein Logoff / Logon des Benutzers oder das Ausführen von

gpupdate /force

Sollte das Zertifikat nach diesen Maßnahmen immer noch nicht installiert sein, sollte überprüft werden, ob das GPO auch richtig verknüpft wurde.

gpresult /r 

13.PNG

Weiter gehts mit dem Thema Active Directory Zertifikatsdienste (Teil 5): Sperrlisten und Sperren eines Zertifikats


8 Comments

  1. […] Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit einer Gruppenrichtlinie verteilen […]

    Like

  2. […] Weiter gehts mit dem Artikel Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit Gruppenrichtlinien verteilen […]

    Like

  3. […] Teil 4 Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit Gruppenrichtlinien verteilen beschäftigt sich dieser Teil mit Sperrlisten und der Sperrung von Zertifikaten. Eine […]

    Like

  4. […] Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit Gruppenrichtlinien verteilen […]

    Like

  5. […] Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit Gruppenrichtlinien verteilen […]

    Like

  6. […] Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit Gruppenrichtlinien verteilen […]

    Like

  7. […] Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit Gruppenrichtlinien verteilen […]

    Like

  8. […] Benutzer können dann über die MMC Konsole certmgr.msc Zertifikate von der internen CA anfordern, oder sie bekommen diese in einer Active Directory Umgebung automatisch per Gruppenrichtlinie zugewiesen. […]

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Categories

WHOIS

My name is Patrick Grünauer (pewa2303). I am from Austria. On sid-500 I write about Windows, Cisco and IT-Security in English and German. Have fun while reading!

Patrick Gruenauer
Follow SID-500 on WordPress.com