Zertifikat über Gruppenrichtlinien an Clients verteilen
Version vom 24. April 2018, 08:40 Uhr von Jan-Philipp (Diskussion | Beiträge) (→Gruppenrichtlinie anwenden)
selbst signiertes Zertifikat exportieren
- Wir öffnen das "mmc" auf dem Windows Server, dazu drücken wir [Win-Taste + R] und geben dort bei ausführen mmc ein.
- Dann gehen wir auf Datei und dann auf Sanp-In hinzufügen/entfernen....
- Wir wählen auf der Seite der verfügbaren Snap-Ins „Zertifikate“ aus und fügen es hinzu.
- Dabei wählen wir Computerkonto und Lokalen Computer aus.
- Danach gehen wir im Konsolenstamm auf: „Eigene Zertifikate“ und dann auf den Ordner Zertifikate. Hier sehen wir jetzt das selbst signierte Zertifikat vom Exchange Server. Zum exportieren gehen wir nun wie folg vor:
- Rechtsklick auf das Zertifikat und dann auf Alle Aufgaben -> Exportieren....
- Wählen wir dann die Option „Nein, privaten Schlüssel nicht exportieren“ und fahren mit Weiter fort.
- Als nächstes wählen wir DER-codiert-binär X.509 (.CER) aus und gehen auf Weiter.
- Nun muss der Speicherort für das Zertifikat angegeben werden, als auch der Dateiname (benennen wir das Zertifikat nach dem Servernamen).
- Dann noch einmal auf Weiter und auf Fertig Stellen, nun ist das Zertifikat exportiert.
exportiertes Zertifikat per Gruppenrichtlinienobjekt (GPO) verteilen
- Als erstes öffnen wir die Gruppenrichtlinienverwaltung (auf dem Domain Controller)
- Dann Rechtsklick auf den Namen der Domain Gruppenrichtlinienobjekt hier erstellen oder verknüpfen...
- Nun geben wir der erstellten Richtlinie einen Aussagekräftigen Namen z.B. (Exchange selbst signiertes Zertifikat verteilen)
- Dann Rechtsklick auf die Erstellte Gruppenrichtlinie und auf Bearbeiten
- Gehen wir nacheinander auf folgende Einstellungen:
Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für öffentliche Schlüssel
- Rechtsklick auf Vertrauenswürdige Stammzertifizierungsstellen und dann auf Importieren...
- Nun wählen wir das exportierte Zertifikat aus (\\Servername\Servername.cer)
- Als letztes noch die Option „Alle Zertifikate in folgendem Speicher speichern“ belassen, auf Weiter und auf Fertig Stellen.
Gruppenrichtlinie anwenden
- Die Richtilinie greift erst,
- wenn der PC neugestartet wird
- der Benutzer sich neu anmeldet
- oder folgender Befehl ausgeführt wird: „gpupdate /force“