5
Eigene CA: Serverzertifikat auf DC abgelaufen
Hallo,
ich betreibe eine CA und über die Gruppenrichtlinien lassen sich alle Rechner ein Clientauthentifizierungszertifikat von der CA ausstellen und erneuern dieses auch bei Ablauf.
Nur die DC erneuern das nicht und es lässt sich auch nicht manuell erneuern. Das ist auch kein Problem, da das Zertifikat nicht benötigt wird. Andere Zertifikate bspw. das Zertifikat für Kerberos können jedoch erneuert werden.
Nun zur meiner Frage: Warum kann ein DC sein Computer-Zertifikat (das ausgestellt wurde, als dieser noch Member-Server war) nicht erneuern?
Hintergrund: Ich versuche das genauer zu verstehen?
ich betreibe eine CA und über die Gruppenrichtlinien lassen sich alle Rechner ein Clientauthentifizierungszertifikat von der CA ausstellen und erneuern dieses auch bei Ablauf.
Nur die DC erneuern das nicht und es lässt sich auch nicht manuell erneuern. Das ist auch kein Problem, da das Zertifikat nicht benötigt wird. Andere Zertifikate bspw. das Zertifikat für Kerberos können jedoch erneuert werden.
Nun zur meiner Frage: Warum kann ein DC sein Computer-Zertifikat (das ausgestellt wurde, als dieser noch Member-Server war) nicht erneuern?
Hintergrund: Ich versuche das genauer zu verstehen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 666406
Url: https://administrator.de/contentid/666406
Printed on: April 25, 2024 at 07:04 o'clock
5 Comments
Latest comment
Hallo,
Du musst einmal schauen, ob die Gruppenrichtline zur Registrierungsrichtline auch für die DCs gilt. Weiterhin muss die Zertifikatsvorlage unter Sicherheit für die DCs mit Automatisch Registrieren erlaubt werden. Domänencontroller sind keine Domänencomputer. Dann sollte es Klappen.
Grüße
lcer
Du musst einmal schauen, ob die Gruppenrichtline zur Registrierungsrichtline auch für die DCs gilt. Weiterhin muss die Zertifikatsvorlage unter Sicherheit für die DCs mit Automatisch Registrieren erlaubt werden. Domänencontroller sind keine Domänencomputer. Dann sollte es Klappen.
Grüße
lcer
Ja das war auch gerade mein Gedanke. Hat der DC selber auch das Recht dazu? Das müsstest du mal überprüfen.
Ja, diese Gruppenrichtlinie wird auch auf die DC angewandt und die Einstellungen werden von der DDCP auch nicht blockiert oder überschrieben.
Zumal die DC die anderen Zertifikate der CA erneuern.
Zumal die DC die anderen Zertifikate der CA erneuern.
Hallo,
Grüße
lcer
Zitat von @peakfinder:
Ja, diese Gruppenrichtlinie wird auch auf die DC angewandt und die Einstellungen werden von der DDCP auch nicht blockiert oder überschrieben.
Zumal die DC die anderen Zertifikate der CA erneuern.
schön, und die Zerifikatsvorlage? sind die Berechtigungen für "Automatisch Registrieren" korrekt? Welche Zertifikatsvorlage ist denn überhaupt für die DCs aktiviert?Ja, diese Gruppenrichtlinie wird auch auf die DC angewandt und die Einstellungen werden von der DDCP auch nicht blockiert oder überschrieben.
Zumal die DC die anderen Zertifikate der CA erneuern.
Grüße
lcer
Hallo,
ja richtig, die Zertifikatsvorlage Computer ist nur zum "Registrieren" von Domänencomputern aktiviert. Daher wird also das Zertifikat nicht erneuert.
Da jeder DC zunächst erstmal ein Domänencomputer war bevor er hochgestuft wurde, hat er ein Computerzertifikat welches dann irgendwann ausläuft.
Danke für die Hilfe
ja richtig, die Zertifikatsvorlage Computer ist nur zum "Registrieren" von Domänencomputern aktiviert. Daher wird also das Zertifikat nicht erneuert.
Da jeder DC zunächst erstmal ein Domänencomputer war bevor er hochgestuft wurde, hat er ein Computerzertifikat welches dann irgendwann ausläuft.
Danke für die Hilfe
