# Gruppenrichtlinie

Diese Zertifikatsregistrierung basiert auf den [XCEP](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-xcep) und [WSTEP](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-wstep/) Protokollen, die alle neueren Windows-Versionen nativ unterstützen. In Active-Directory-Umgebungen können die notwendigen Einstellungen über Gruppenrichtlinien (GPO) angewendet werden, damit an AD-gebundene Computer Zertifikate von SCEPman registrieren.

In diesem Szenario sind drei Gruppenrichtlinieneinstellungen für eine vollständig automatisierte Zertifikatbereitstellung erforderlich.

{% stepper %}
{% step %}

### Registrierung des CEP-Servers

Der CEP-(Certificate Enrollment Policy)-Server (Teil von SCEPman) stellt einem authentifizierten Client eine Richtlinie bereit, die alle auf SCEPman für die Active-Directory-Registrierung konfigurierten Zertifikatvorlagen enthält. Der CEP-Server muss auf den Clients in der Registrierung hinzugefügt werden. Windows enthält GPO-Vorlagen, um die erforderlichen Einstellungen in der GUI zu konfigurieren.

#### Richtlinienkonfiguration

Für die Zertifikatvorlagen `Gerät` und `DC`müssen Sie in die *Computer Configuration* -Hive gehen. Für `Benutzer`müssen Sie in die *User Configuration* -Hive navigieren. Wenn Sie Zertifikatvorlagen beider Arten verwenden, müssen Sie beide konfigurieren. In diesem Fall verwenden Sie normalerweise zwei GPOs, eine für die Benutzer mit der User Configuration und eine für die Computer mit der Computer Configuration.

<pre data-title="Speicherort der Einstellung im Gruppenrichtlinienverwaltungs-Editor (gpmc.msc)"><code>Computer Configuration / User Configuration
└-Policies
  └-Windows Settings
    └-Security Settings
      └-Public Key Policies
<strong>        └-Certificate Services Client - Certificate Enrollment Policy Server
</strong></code></pre>

Fügen Sie in der Einstellung einen neuen CEP-Server zur Liste hinzu und geben Sie die Richtlinienserver-URI in das entsprechende Eingabefeld ein. Sie können diese URI von der Startseite Ihres SCEPman kopieren. Sie folgt dem Schema von `https://scepman.contoso.com/step/policy`. Nachdem Sie den CEP-Server eingegeben und validiert haben, können Sie die Einstellung abschließen, indem Sie ihn hinzufügen und den Dialog bestätigen.

{% hint style="warning" %}
Während des Konfigurationsprozesses führt der Client bereits einen Validierungsaufruf an den CEP-Server durch. Daher muss der für die Konfiguration verwendete Kontokontext die Berechtigung haben, auf den CEP-Endpunkt von SCEPman zuzugreifen, d. h. sich mit Kerberos zu authentifizieren, sowie ausgehenden Netzwerkzugriff auf Port 443 von SCEPman.
{% endhint %}

<figure><img src="https://2075553437-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FX84wWn0ykjjnIqAoZC8a%2Fimage.png?alt=media&#x26;token=c8a6049d-2864-4dea-9692-f72718244bfd" alt=""><figcaption></figcaption></figure>

{% hint style="warning" %}
Bitte sehen Sie sich den [Bekannte Probleme](https://docs.scepman.com/de/zertifikatsverwaltung/general-configuration#known-issues) Abschnitt an, falls während der CEP-Server-Validierung ein Fehler auftritt.
{% endhint %}

<figure><img src="https://2075553437-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FxR6zCRYX2tIgRQz0eb80%2Fimage.png?alt=media&#x26;token=9f994ff2-7ea6-4361-b8c7-ae615627769e" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
Wenn Sie den SCEPman-CEP-Server parallel zu Ihrem vorhandenen ADCS verwenden, müssen Sie einen Standardserver auswählen und sicherstellen, dass Sie die vorhandene Registrierungsrichtlinie beibehalten.
{% endhint %}
{% endstep %}

{% step %}

### Auto-Enrollment aktivieren

Mit dem registrierten CEP-Server können Ihre Benutzer/Computer Zertifikate von SCEPman anfordern. Normalerweise möchten Sie, dass dies automatisch und ohne Benutzerinteraktion geschieht, und dafür müssen Sie Auto-Enrollment aktivieren. Beachten Sie, dass dies möglicherweise bereits aktiviert ist, wenn Sie zuvor Autoenrollment mit Microsoft Active Directory Certificate Services (AD CS) verwendet haben.

<pre data-title="Speicherort der Einstellung im Gruppenrichtlinienverwaltungs-Editor (gpmc.msc)"><code>Computer Configuration / User Configuration
└-Policies
  └-Windows Settings
    └-Security Settings
      └-Public Key Policies
<strong>        └-Certificate Services Client - Auto-Enrollment
</strong></code></pre>

Stellen Sie sicher, dass Sie `Zertifikate aktualisieren, die Zertifikatvorlagen verwenden` aktivieren, um die automatische Registrierung zu ermöglichen.

<figure><img src="https://2075553437-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2F46F7m4Xtc7YI1Z3h2Khl%2Fimage.png?alt=media&#x26;token=4432b827-4bb5-42a1-9232-03bac576e0ab" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### Vertrauenswürdige Stamm-CA installieren

Wenn der Registrierungsrichtlinienserver und die Auto-Enrollment-Einstellungen eingerichtet sind, müssen Sie nur noch sicherstellen, dass Ihre Zielgeräte oder -benutzer Ihrem SCEPman-CA-Zertifikat vertrauen. Dazu müssen Sie das CA-Zertifikat in die entsprechende GPO-Einstellung importieren.

<pre data-title="Speicherort der Einstellung im Gruppenrichtlinienverwaltungs-Editor (gpmc.msc)"><code>Computer Configuration / User Configuration
└-Policies
  └-Windows Settings
    └-Security Settings
      └-Public Key Policies
        └-Trusted Root Certificatin Authorities
<strong>          └- Import (Kontextmenü)
</strong></code></pre>

<figure><img src="https://2075553437-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fpm2U64nuLU0ZWpU9Cs7B%2Fimage.png?alt=media&#x26;token=4f0169cc-4ef8-419d-88f8-37f4140cfc6f" alt=""><figcaption></figcaption></figure>

Laden Sie das CA-Zertifikat Ihres SCEPman von dessen Startseite herunter und stellen Sie sicher, dass Sie es in diesem Dialog importieren.
{% endstep %}
{% endstepper %}