Active Directory Zertifikatsdienste (Teil 6): Enrollment Agents und Restricted Enrollment Agents

By Patrick Gruenauer on 2. April 2017 • ( 7 Comments )

Enrollment Agents dürfen im Namen anderer Zertifikate anfordern. Diese Personen besitzen ein Enrollment Agent Zertifikat. Eine verdammt heikle Sache. Dieser “Agent” sollte eine vertrauenswürdige Person sein, sie kann sich als ein anderer ausgeben und viel Schaden anrichten. Dieser Artikel ist Teil 6 der Serie Active Directory Zertifikatsdienste.

Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA

Active Directory Zertifikatsdienste (Teil 2): Installation der Zertifizierungsstellen-Webregistrierung

Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen

Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit Gruppenrichtlinien verteilen

Active Directory Zertifikatsdienste (Teil 5): Sperrlisten und Sperren eines Zertifikats

Active Directory Zertifikatsdienste (Teil 6): Enrollment Agents und Restricted Enrollment Agents

Active Directory Zertifikatsdienste (Teil 7): Schlüsselarchivierung und Key Recovery Agents

Active Directory Zertifikatsdienste (Teil 8): Sichern und Überwachen einer Enterprise Root-CA

Grundlegendes zur Zertifikatsvorlage Enrollment Agent

Das Zertifikat Enrollment Agent ist per default nur für Domänen-Administratoren und Organisations-Administratoren verfügbar.

Die Informationen werden ausschließlich über Active Directory bereitgestellt. Eine manuelle Eingabe beider Anforderung ist nicht erlaubt.

Sollen hier Änderungen erwünscht sein dann muss eine neue Enrollment Agent Vorlage wie in Teil 3 Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen beschrieben erstellt werden.

Ausstellen der Zertifikatsvorlage Enrollment Agent

Die Vorlage muss zuerst ausgestellt werden. Dazu certsrv.msc öffnen und mit der rechten Maustaste auf Zertifikatsvorlagen klicken und Neu – Auszustellende Zertifikatsvorlage wählen.

101

Vorlage auswählen und mit OK bestätigen.

Enrollment Agent erstellen

Ein Enrollment Agent ist dann ein Enrollment Agent, wenn er das Zertifikat Enrollment Agent besitzt.

Um das Zertifikat zu beziehen startet man – als Domänen-Administrator angemeldet – certmgr.msc. Dann unter Eigene Zertfikate – Zertifikate – Alle Aufgaben – Neues Zertifikat anfordern… wählen.

2 x Weiter klicken. Jetzt wählt man die Vorlage aus und klickt auf Registrieren und Fertig Stellen.

Der Agent ist eingerichtet.

Registrieren eines Zertifikats im Auftrag von…

Nun sind alle Voraussetzungen erfüllt. Der Enrollment Agent ist konfiguriert. Um Zertifikate im Namen anderer anzufordern wählt der “Agent” unter Eigene Zertfikate – Zertifikate – Alle Aufgaben – Erweiterte Vorgänge – Registrieren im Aufrag von…

2 x Weiter klicken. Dann auf Durchsuchen klicken und das Zertifikat bestätigen.

Zertifikat wählen.

Active Directory Benutzer auswählen.

Registrieren klicken.

Und da isses.

Nun kann die Datei unter Details – In Datei kopieren mit dem privaten Schlüssel (kennwortgeschützt) als Datei gespeichert werden und an den Benutzer Petra weitergegeben werden.

Restricted Enrollment Agents

Wenn Enrollment Agents eingeschränkt werden sollen dann können Restricted Enrollment Agents konfiguriert werden.

Die Einstellungen der Restricted Agents sind in den Eigenschaften der CA im Reiter Registrierungs-Agents zu finden. Dort können die Agents z.B. auf bestimme Zertifikatsvorlagen eingeschränkt werden.