In diesem Beitrag zeige ich die nötigen Schritte um das Auto Enrollment einer Windows 2016 CA einzurichten.
Es wird davon ausgegangen die Windows CA ist bereits installiert, es werden hier nur die Schritte für das Auto Enrollment aufgezeigt, und zwar am Beispiel eines Computer und eines Benutzer Zertifikates.
Schritt 1, Öffnen der „Certificate Templates Console“, das geht am einfachsten innerhalb der „Certification Authority Mangament Console mittels „Manage“ auf dem Konten „Certificate Templates“
Schritt 2, Duplizieren einer Built-in Vorlage, in meinem Fall dupliziere ich die „User“ Vorlage und nenne das Duplikat „AutoEnrole User“, und ich dupliziere „Compuer“ zu „AutoEnrole Computer“
Schritt 3, die neue „AutoEnrolle…“ Vorlage wird nun so berechtigt, dass die entsprechenden Benutzer bzw. Computer Lese, Enrole und Autoenrole Berehctigung erhalten
Schritt 4, Zuweisen der neu erstellten „AutoEnrolle…“ Vorlagen zur CA mittels „New | Certificate Template to Issue“
Schritt 5, Aktivieren des AutoEnrollment in der Default Domain Policy mittels
„Computer Configuration|Policies|Windows Settings|Security Settings|Public Key Policies|Certificate Services Client – Auto Enrollment Policy Configuration“ bzw.
„User Configuration|Policies|Windows Settings|Security Settings|Public Key Policies|Certificate Services Client – Auto Enrollment Policy Configuration“
Schritt 6 sicherstellen, dass bei den Benutzern die ein Zertifikat bekommen sollen im AD Benutzerkonto auch eine E-Mail Adress hinterlegt ist, da diese für das Benutzerzertifkat benötigt wird.
Schritt 7, Überprüfen des Ergebnisses durch Anmeldung an einem entsprechenden Computer bzw. mit einem entsprechenden Benutzers der ein Zertifikat bekommen soll. Wenn man nun ein Blick in die Zertifikatsverwaltung wirft, findet man dort unterhalb von Current „User|Personal|Certifiactes“ bzw. „Local Computer|Personal|Certifiactes“ das entsprechende Zertifikat welches mittels Auto Enrollment erstellt und zugewiesen wurde.
Schritt 8, optional, falls noch nicht anderweitig geschehen, kann man sein zugehöriges Root Zertifikat gleich mit verteilen lassen, dies geht per Gruppenrichtlinie unter „Computer Configuration|Policies|Windows Settings|Security Settings|Public Key Policies|Trusted Root Certificate Authorities|Import“