Enrollment Agents dürfen im Namen anderer Zertifikate anfordern. Diese Personen besitzen ein Enrollment Agent Zertifikat. Eine verdammt heikle Sache. Dieser “Agent” sollte eine vertrauenswürdige Person sein, sie kann sich als ein anderer ausgeben und viel Schaden anrichten. Dieser Artikel ist Teil 6 der Serie Active Directory Zertifikatsdienste.
Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA
Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen
Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit Gruppenrichtlinien verteilen
Active Directory Zertifikatsdienste (Teil 5): Sperrlisten und Sperren eines Zertifikats
Active Directory Zertifikatsdienste (Teil 6): Enrollment Agents und Restricted Enrollment Agents
Active Directory Zertifikatsdienste (Teil 7): Schlüsselarchivierung und Key Recovery Agents
Active Directory Zertifikatsdienste (Teil 8): Sichern und Überwachen einer Enterprise Root-CA
Grundlegendes zur Zertifikatsvorlage Enrollment Agent
Das Zertifikat Enrollment Agent ist per default nur für Domänen-Administratoren und Organisations-Administratoren verfügbar.
Die Informationen werden ausschließlich über Active Directory bereitgestellt. Eine manuelle Eingabe beider Anforderung ist nicht erlaubt.
Sollen hier Änderungen erwünscht sein dann muss eine neue Enrollment Agent Vorlage wie in Teil 3 Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen beschrieben erstellt werden.
Ausstellen der Zertifikatsvorlage Enrollment Agent
Die Vorlage muss zuerst ausgestellt werden. Dazu certmgr.msc öffnen und mit der rechten Maustaste auf Zertifikatsvorlagen klicken und Neu – Auszustellende Zertifikatsvorlage wählen.
Vorlage auswählen und mit OK bestätigen.
Enrollment Agent erstellen
Ein Enrollment Agent ist dann ein Enrollment Agent, wenn er das Zertifikat Enrollment Agent besitzt.
Um das Zertifikat zu beziehen startet man – als Domänen-Administrator angemeldet – certmgr.msc. Dann unter Eigene Zertfikate – Zertifikate – Alle Aufgaben – Neues Zertifikat anfordern… wählen.
2 x Weiter klicken. Jetzt wählt man die Vorlage aus und klickt auf Registrieren und Fertig Stellen.
Der Agent ist eingerichtet.
Registrieren eines Zertifikats im Auftrag von…
Nun sind alle Voraussetzungen erfüllt. Der Enrollment Agent ist konfiguriert. Um Zertifikate im Namen anderer anzufordern wählt der “Agent” unter Eigene Zertfikate – Zertifikate – Alle Aufgaben – Erweiterte Vorgänge – Registrieren im Aufrag von…
2 x Weiter klicken. Dann auf Durchsuchen klicken und das Zertifikat bestätigen.
Zertifikat wählen.
Active Directory Benutzer auswählen.
Registrieren klicken.
Und da isses.
Nun kann die Datei unter Details – In Datei kopieren mit dem privaten Schlüssel (kennwortgeschützt) als Datei gespeichert werden und an den Benutzer Petra weitergegeben werden.
Restricted Enrollment Agents
Wenn Enrollment Agents eingeschränkt werden sollen dann können Restricted Enrollment Agents konfiguriert werden.
Die Einstellungen der Restricted Agents sind in den Eigenschaften der CA im Reiter Registrierungs-Agents zu finden. Dort können die Agents z.B. auf bestimme Zertifikatsvorlagen eingeschränkt werden.
Weiter gehts mit dem Thema: Active Directory Zertifikatsdienste (Teil 7): Schlüsselarchivierung und Key Recovery Agents
Categories: Cyber Security, Windows Server
My name is Patrick Gruenauer. Microsoft MVP on PowerShell. Have fun reading.
7 replies »