Teil 5g: Computerzertifikate mittels Auto-Enrollment registrieren

Auf meinen Clients möchte ich Computerzertifikate mittels Auto-Enrollment registrieren. Damit ist der Anfang für eine spätere DirectAccess-Implementierung schon gemacht. 🙂

Eine Zertifikatsvorlage für Computer erstellen und konfigurieren

  1. Als Administrator an APP1 anmelden
  2. Server Manager > Tools > Cerification Authority
  3. Einfaches-Netzwerk SubCA erweitern
  4. Certificate Templates rechts anklicken > Manage
  5. Die Zertifikatsvorlage Computer rechts > Duplicate Template
  6. Properties of New Template:
    1. Reiter Compatibility:
      1. Certification Authority: Windows Server 2003
      2. Certificate recipient: Windows 8.1 / Windows Server 2012 R2
        AUTOENROLLMENT-001
    2. Reiter General:
      1. Template display name: CUSTOM – Computer
      2. Validity period: 5 years
        AUTOENROLLMENT-002
    3. Reiter Security:
      1. Domain Computers markieren > Allow Read, Enroll und Autoenroll
        AUTOENROLLMENT-003
    4. Reiter Subject Name:
      1. Subject name format: DNS Name
        AUTOENROLLMENT-004
  7. Fenster mit OK schließen
    AUTOENROLLMENT-005
  8. Certificate Templates-Konsole schließen
  9. In der Certification Authority-Konsole Certificate Templates rechts anklicken > New > Certificate Template to Issue
  10. In der Liste CUSTOM – Computer auswählen > OK
    AUTOENROLLMENT-006
  11. Zertifikatsvorlage Computer rechts anklicken > Delete anklicken
    AUTOENROLLMENT-007
  12. Alle Fenster schließen

Auto-Enrollment mittels Gruppenrichtlinen aktivieren

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. Forest\Domains\intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  4. Das GPO CUSTOM – Client Standard Settings rechts anklicken > Edit…
  5. Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies markieren
  6. Certificate Services Client – Auto-Enrollment doppelklicken
    AUTOENROLLMENT-008
  7. Certificate Services Client – Auto-Enrollment Properties
    1. Configuration Model: Enabled
    2. Renew expired certificates, update pending certificates, and remove revoked certificates aktivieren
    3. Update certificates that use certificate templates aktivieren (ermöglicht die automatische Registrierung für die Ausstellung von Zertifikaten, die ausgestellte Zertifikate ablösen) > OK
      AUTOENROLLMENT-009
  8. Alle Fenster schließen
    AUTOENROLLMENT-010

Weitere Informationen

2 Gedanken zu „Teil 5g: Computerzertifikate mittels Auto-Enrollment registrieren

  1. Ein sehr gutes Tutorial.

    – Viele Screenshots
    – Step by Step passend ausführlich erklärt ohne „zu tief“ in die Materie zu gehen
    – Einzelschritte durch Zusatzinfos beschrieben

    Dadurch wird erreicht, dass das Tutorial für Anfänger wie Profis passt. Ich wüsste nicht, wie man’s besser gestalten könnte. Herzlichen Glückwunsch!

    Viele Grüße
    Martin

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert