Notifications
Clear all

[Gelöst] Enterprise CA  

  RSS

ManDal
(@mandal)
Eminent Member
Beigetreten: 8 Monaten zuvor
Beiträge: 30
22. Oktober 2019 10:16  

Hallo zusammen

Ich betreibe eine zweistufige CA für unsere Internen Service, wir haben eine interen Policy die festhält wer ein Zertifikat ausstellen darf und wie vorgegangen werden muss.

 

Würde gerne erfahren wie Ihr das so handhabt oder eingeschränkt habt...

 

Grüsse

ManDal

 


Zitat
Frank Zöchling
(@franky)
Admin
Beigetreten: 10 Jahren zuvor
Beiträge: 303
25. Oktober 2019 21:39  

Hallo ManDal,

ich gehe meist so vor, dass ich die Standardvorlagen der Enterprise CA lösche, damit Systeme und Benutzer nicht automatisch Zertifikate von der CA anfordern. Danach hängt es vom Unternehmen ab, wie Vorlagen und Berechtigungen konfiguriert werden. Ich finde es beispielsweise sinnvoll, wenn auf jedem Zertifikat eine E-Mail Adresse angegeben ist, so lassen sich Benachrichtigungen über den Ablauf von Zertifikaten verschicken. Ich hab in der Vergangenheit meistens eine AD-Gruppe je Vorlage erstellt. Mittels der Gruppe werden dann die Benutzer/Computer berechtigt, welche die Zertifikate anfordern können. 

Gruß,

Frank


AntwortZitat
ManDal
(@mandal)
Eminent Member
Beigetreten: 8 Monaten zuvor
Beiträge: 30
28. Oktober 2019 08:34  

Hallo Frank

Danke für dein Hinweis, das mit den AD Gruppen finde ich eine guter Ansatz...

Wen ich die Domain Admins, Domain Computers und Enterprise Admins Gruppen auf dem Template entferne und nur noch eine spezifische Gruppe hinzufügen, bekomme ich dann Probleme oder würde das funktionieren?

Oder besser gesagt welche AD Gruppen müssen auf dem Template vorhanden sein damit ich keine Probleme bekomme?

 

Grüsse

ManDal

 


AntwortZitat
ManDal
(@mandal)
Eminent Member
Beigetreten: 8 Monaten zuvor
Beiträge: 30
28. Oktober 2019 10:06  

Hallo Frank

Habe das jetzt Test halber ausprobiert und eine Kopie des Web Templates erstellt, wen ich dort jetzt alle AD Gruppen rauslösche und nur die neue erstellte Gruppe hinzufüge mit meinem Admin Benutzer drin kann ich das Web Zertifikat über die IIS Seite nicht ausstellen, wen ich den Admin Benutzer aber direkt dem Template zuteile also ohne AD Gruppe funktioniert es.

Mache ich da irgend etwas falsch?

 

Grüsse

ManDal


AntwortZitat
Frank Zöchling
(@franky)
Admin
Beigetreten: 10 Jahren zuvor
Beiträge: 303
28. Oktober 2019 19:59  

Hi,

hast du dran gedacht, dass du dich dann einmal ab- und anmelden musst, damit die neuen Gruppenmitgliedschaften greifen? Je nachdem wer das Zertifikat anfordert, müssen ggf. auch die Computerkonten zur Gruppe hinzugefügt werden.

Gruß,

Frank


AntwortZitat
ManDal
(@mandal)
Eminent Member
Beigetreten: 8 Monaten zuvor
Beiträge: 30
29. Oktober 2019 10:30  

Hallo Frank

Danke für den Hinweis nach dem ab und wieder Anmelden ist das Web Zerti nun auch ersichtlich... 

 

Grüsse

ManDal


AntwortZitat
Share: