SID-500

Home » Security » Active Directory Zertifikatsdienste (Teil 6): Enrollment Agents und Restricted Enrollment Agents

Active Directory Zertifikatsdienste (Teil 6): Enrollment Agents und Restricted Enrollment Agents

Enrollment Agents dürfen im Namen anderer Zertifikate anfordern. Diese Personen besitzen ein Enrollment Agent Zertifikat. Eine verdammt heikle Sache. Dieser “Agent” sollte eine vertrauenswürdige Person sein, sie kann sich als ein anderer ausgeben und viel Schaden anrichten. Dieser Artikel ist Teil 6 der Serie Active Directory Zertifikatsdienste.


Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA

Active Directory Zertifikatsdienste (Teil 2): Installation der Zertifizierungsstellen-Webregistrierung

Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen

Active Directory Zertifikatsdienste (Teil 4): Zertifikate mit Gruppenrichtlinien verteilen

Active Directory Zertifikatsdienste (Teil 5): Sperrlisten und Sperren eines Zertifikats

Active Directory Zertifikatsdienste (Teil 6): Enrollment Agents und Restricted Enrollment Agents

Active Directory Zertifikatsdienste (Teil 7): Schlüsselarchivierung und Key Recovery Agents

Active Directory Zertifikatsdienste (Teil 8): Sichern und Überwachen einer Enterprise Root-CA


Grundlegendes zur Zertifikatsvorlage Enrollment Agent

Das Zertifikat Enrollment Agent ist per default nur für Domänen-Administratoren und Organisations-Administratoren verfügbar.

Bild1.PNG

Die Informationen werden ausschließlich über Active Directory bereitgestellt. Eine manuelle Eingabe beider Anforderung ist nicht erlaubt.

Bild2.PNG

Sollen hier Änderungen erwünscht sein dann muss eine neue Enrollment Agent Vorlage wie in Teil 3  Active Directory Zertifikatsdienste (Teil 3): Eigene Zertifikatsvorlagen erstellen beschrieben erstellt werden.

Ausstellen der Zertifikatsvorlage Enrollment Agent

Die Vorlage muss zuerst ausgestellt werden. Dazu certmgr.msc öffnen und mit der rechten Maustaste auf Zertifikatsvorlagen klicken und Neu – Auszustellende Zertifikatsvorlage wählen.

101

Vorlage auswählen und mit OK bestätigen.

102.PNG

Enrollment Agent erstellen

Ein Enrollment Agent ist dann ein Enrollment Agent, wenn er das Zertifikat Enrollment Agent besitzt.

Um das Zertifikat zu beziehen startet man – als Domänen-Administrator angemeldet – certmgr.msc. Dann unter Eigene Zertfikate – Zertifikate – Alle Aufgaben – Neues Zertifikat anfordern… wählen.

100.PNG

2 x Weiter klicken. Jetzt wählt man die Vorlage aus und klickt auf Registrieren und Fertig Stellen.

103.PNG

Der Agent ist eingerichtet.

104.PNG

Registrieren eines Zertifikats im Auftrag von…

Nun sind alle Voraussetzungen erfüllt. Der Enrollment Agent ist konfiguriert. Um Zertifikate im Namen anderer anzufordern wählt der “Agent” unter Eigene Zertfikate – Zertifikate – Alle Aufgaben – Erweiterte Vorgänge – Registrieren im Aufrag von…

105.PNG

2 x Weiter klicken. Dann auf Durchsuchen klicken und das Zertifikat bestätigen.

106.PNG

Zertifikat wählen.

107.PNG

Active Directory Benutzer auswählen.

109.PNG

Registrieren klicken.

110.PNG

Und da isses.

111.PNG

Nun kann die Datei unter Details – In Datei kopieren mit dem privaten Schlüssel (kennwortgeschützt) als Datei gespeichert werden und an den Benutzer Petra weitergegeben werden.

Restricted Enrollment Agents

Wenn Enrollment Agents eingeschränkt werden sollen dann können Restricted Enrollment Agents konfiguriert werden.

Die Einstellungen der Restricted Agents sind in den Eigenschaften der CA im Reiter Registrierungs-Agents zu finden. Dort können die Agents z.B. auf bestimme Zertifikatsvorlagen eingeschränkt werden.

112.PNG

Weiter gehts mit dem Thema: Active Directory Zertifikatsdienste (Teil 7): Schlüsselarchivierung und Key Recovery Agents


7 Comments

  1. […] Active Directory Zertifikatsdienste (Teil 6): Enrollment Agents und Restricted Enrollment Agents […]

    Like

  2. […] Active Directory Zertifikatsdienste (Teil 6): Enrollment Agents und Restricted Enrollment Agents […]

    Like

  3. […] Active Directory Zertifikatsdienste (Teil 6): Enrollment Agents und Restricted Enrollment Agents […]

    Like

  4. […] Active Directory Zertifikatsdienste (Teil 6): Enrollment Agents und Restricted Enrollment Agents […]

    Like

  5. […] Active Directory Zertifikatsdienste (Teil 6): Enrollment Agents und Restricted Enrollment Agents […]

    Like

  6. […] Active Directory Zertifikatsdienste (Teil 6): Enrollment Agents und Restricted Enrollment Agents […]

    Like

  7. […] Active Directory Zertifikatsdienste (Teil 6): Enrollment Agents und Restricted Enrollment Agents […]

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Categories

WHOIS

My name is Patrick Grünauer (pewa2303). I am from Austria. On sid-500 I write about Windows, Cisco and IT-Security in English and German. Have fun while reading!

Patrick Gruenauer
Follow SID-500 on WordPress.com