GPO: Bereitstellen eines Zertifikats

In diesem Lernprogramm erfahren Sie, wie Sie mithilfe einer GPO (Gruppenrichtlinie) ein Zertifikat auf Computern und Servern bereitstellen, die Mitglieder einer Active Directory-Domäne sind.

Einige Fälle, in denen Sie möglicherweise ein Zertifikat mithilfe der Gruppenrichtlinie verteilen müssen:

  • Interne Zertifizierungsstelle (ADCS)
  • Firewall-Appliance-Zertifikat für SSL-Filterung
  • Selbstsigniertes Webserver-/RDS-Zertifikat

Durch die Zertifikatsbereitstellung per Gruppenrichtlinie können wir das Zertifikat mithilfe von Active Directory zentral auf Computern direkt im richtigen Speicher installieren.

Exportieren Sie das bereitzustellende Zertifikat

Vorgang, der auf dem Server ausgeführt werden muss, auf dem das Zertifikat mit dem privaten Schlüssel installiert ist.

Öffnen Sie die MMC-Konsole zur Zertifikatsverwaltung auf dem lokalen Computer und gehen Sie zu dem Speicher, in dem das Zertifikat gespeichert ist.

Wählen Sie das Zertifikat 1 aus, klicken Sie mit der rechten Maustaste darauf und gehen Sie zu Alle Aufgaben 2 > Exportieren… 3.

Console MMC certificat

Wenn der Assistent geöffnet wird, klicken Sie auf Weiter 1.

Assistant export

Wählen Sie Nein, privaten Schlüssel nicht exportieren 1 und klicken Sie dann auf Weiter 2.

Export sans cle privee

Wählen Sie eines der beiden X.509-Formate 1 und klicken Sie auf die Schaltfläche Weiter 2.

Format du certificat

Das Zertifikat muss die Erweiterung .cer haben

Klicken Sie auf die Schaltfläche Durchsuchen… 1.

Emplacement export

Ordner 1 wählen, Dateinamen 2 eingeben und auf Speichern 3 drücken.

Nom du fichier

Bestätigen Sie den Pfad und den Namen der Datei 1 und klicken Sie dann auf Weiter 2.

Valider l'emplacement

Klicken Sie auf die Schaltfläche „Fertig stellen“ 1, um den Assistenten zu schließen.

Fermer l'assistant

Überprüfen Sie die Dateierstellung.

Certificat exporter

Legen Sie das Zertifikat an einem Ort ab, auf den Ihre Domänensteuerung zugreifen kann.

Emplacement accessible

Erstellen der Richtlinie (GPO) zum Bereitstellen eines Zertifikats

Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.

Klicken Sie mit der rechten Maustaste auf OU 1 und dann auf „GPO in dieser Domäne erstellen und hier verknüpfen …“ 2.

Nouvelle stratégie pour déployer un certificat

Benennen Sie die Strategie 1 und klicken Sie auf OK 2.

Nom de la stratégie

Klicken Sie mit der rechten Maustaste auf Strategie 1 und klicken Sie auf Bearbeiten… 2.

Editer la stratégie

Gehen Sie zur Einstellung „Vertrauenswürdige Stammzertifizierungsstellen“ 1, die sich unter „Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinie für öffentliche Schlüssel“ befindet. Klicken Sie mit der rechten Maustaste auf 2 und klicken Sie auf Importieren 3.

Paramètre pour importer un certificat

Wenn der Assistent startet, klicken Sie auf Weiter 1.

Assistant d'importation

Klicken Sie auf Durchsuchen… 1.

Cliquer sur parcourrir

Gehen Sie zum Speicherort der Datei 1, wählen Sie das Zertifikat 2 aus und klicken Sie auf Öffnen 3.

Sélectionner le fichier

Klicken Sie im Assistenten auf Weiter 1.

Passer à l'étape suivante

Wenn Sie das Geschäft nicht auswählen können, klicken Sie auf Weiter 1.

Valider le magasin

Klicken Sie auf Fertig stellen 1, um das Zertifikat zu importieren.

Fermer l'assistant pour lancer l'import

Klicken Sie zum Bestätigen des Imports auf OK 1.

Import réussi

Unter Parameter 1 sollte das importierte Zertifikat angezeigt werden.

Certificat visible

Strategieeinstellungen:

Résumé de la GPO

Testen der Zertifikatbereitstellung

Starten Sie einen Computer neu, auf dem die Gruppenrichtlinie zur Installation des Zertifikats angewendet wird

Melden Sie sich am Computer an.

Öffnen Sie die MMC-Konsole zur Zertifikatsverwaltung auf dem lokalen Computer, gehen Sie zu „Vertrauenswürdige Stammzertifizierungsstelle“ 1 und überprüfen Sie das Vorhandensein des Zertifikats 2.

Certificat sur le poste client

In diesem Tutorial haben wir gesehen, wie man ein Zertifikat mithilfe eines GPO bereitstellt, aber auch, wie man ein Zertifikat aus dem Zertifikatspeicher eines lokalen Computers exportiert.




Schreibe einen Kommentar