Die Bereitstellung von Zertifikaten auf Computern mithilfe von Gruppenrichtlinien umfasst die Konfiguration des Gruppenrichtlinienobjekts (GPO) und die Einrichtung der Zertifikatdienste. Hier ist eine allgemeine Anleitung, die Ihnen bei der Bereitstellung von Zertifikaten hilft:
Voraussetzungen:
1. Stellen Sie sicher, dass Sie über eine ordnungsgemäß konfigurierte Active Directory-Zertifikatdienste-Infrastruktur (AD CS) mit einer Stammzertifizierungsstelle und einer ausstellenden untergeordneten Zertifizierungsstelle verfügen.
2. Stellen Sie sicher, dass die Computer, auf denen Sie Zertifikate bereitstellen möchten, der Active Directory-Domäne beigetreten sind.
Konfigurieren Sie das Gruppenrichtlinienobjekt:
1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole auf einem Domänencontroller oder einem Computer mit den entsprechenden Administratorrechten.
2. Erstellen Sie ein neues Gruppenrichtlinienobjekt oder bearbeiten Sie ein vorhandenes Gruppenrichtlinienobjekt, das Sie zum Bereitstellen von Zertifikaten verwenden möchten.
3. Navigieren Sie unter „Computerkonfiguration“ zu „Richtlinien> Windows-Einstellungen> Sicherheitseinstellungen> Richtlinien für öffentliche Schlüssel> Zertifikatsdienste-Client – Automatische Registrierung“.
4. Doppelklicken Sie im rechten Bereich auf „Zertifikate automatisch registrieren“, um die Eigenschaften der automatischen Registrierung zu öffnen.
5. Aktivieren Sie auf der Registerkarte „Allgemein“ die Option „Zertifikate automatisch registrieren“.
6. Klicken Sie auf die Schaltfläche „Einstellungen“, um die Einstellungen für die automatische Registrierung zu konfigurieren:
- Wählen Sie die ausstellende Zertifizierungsstelle aus, von der Sie Zertifikate anfordern möchten.
- Wählen Sie die Zertifikatsvorlage aus, die für die Registrierung verwendet werden soll.
- Geben Sie den Antragstellernamen für die Zertifikate an.
7. Optional können Sie Verlängerungseinstellungen und zusätzliche Eigenschaften nach Bedarf konfigurieren.
Weisen Sie das Gruppenrichtlinienobjekt den Computern zu:
1. Verknüpfen Sie das Gruppenrichtlinienobjekt, das Sie im vorherigen Schritt konfiguriert haben, mit der Organisationseinheit (OU) oder Domäne, die die Computer enthält, auf denen Sie Zertifikate bereitstellen möchten.
2. Erzwingen Sie das GPO, damit es auf die Computer anwendbar ist.
Zertifikate verteilen:
1. Lösen Sie den automatischen Registrierungsprozess aus, indem Sie „gpupdate /force“ auf den Computern ausführen. Dieser Befehl aktualisiert die Gruppenrichtlinien, einschließlich der Einstellungen für die automatische Zertifikatregistrierung, auf den Computern.
2. Alternativ können Sie auf das standardmäßige Aktualisierungsintervall der Gruppenrichtlinie warten, um die Einstellungen anzuwenden.
3. Die Computer fordern die Zertifikate automatisch von der konfigurierten Zertifizierungsstelle an und installieren sie.
4. Zertifikate werden im Zertifikatspeicher des lokalen Computers gespeichert.
Wenn Sie diese Schritte befolgen, können Sie mithilfe von Gruppenrichtlinien erfolgreich Zertifikate auf Computern bereitstellen und den Lebenszyklus von Zertifikaten auf Ihren domänenverbundenen Computern automatisch verwalten.
