Diese Zertifikatsregistrierung basiert auf den XCEP und WSTEP Protokollen, die alle neueren Windows-Versionen nativ unterstützen. In Active-Directory-Umgebungen können die notwendigen Einstellungen über Gruppenrichtlinien (GPO) angewendet werden, damit an AD-gebundene Computer Zertifikate von SCEPman registrieren.
In diesem Szenario sind drei Gruppenrichtlinieneinstellungen für eine vollständig automatisierte Zertifikatbereitstellung erforderlich.
1
Registrierung des CEP-Servers
Der CEP-(Certificate Enrollment Policy)-Server (Teil von SCEPman) stellt einem authentifizierten Client eine Richtlinie bereit, die alle auf SCEPman für die Active-Directory-Registrierung konfigurierten Zertifikatvorlagen enthält. Der CEP-Server muss auf den Clients in der Registrierung hinzugefügt werden. Windows enthält GPO-Vorlagen, um die erforderlichen Einstellungen in der GUI zu konfigurieren.
Richtlinienkonfiguration
Für die Zertifikatvorlagen Gerät und DCmüssen Sie in die Computer Configuration -Hive gehen. Für Benutzermüssen Sie in die User Configuration -Hive navigieren. Wenn Sie Zertifikatvorlagen beider Arten verwenden, müssen Sie beide konfigurieren. In diesem Fall verwenden Sie normalerweise zwei GPOs, eine für die Benutzer mit der User Configuration und eine für die Computer mit der Computer Configuration.
Speicherort der Einstellung im Gruppenrichtlinienverwaltungs-Editor (gpmc.msc)
Fügen Sie in der Einstellung einen neuen CEP-Server zur Liste hinzu und geben Sie die Richtlinienserver-URI in das entsprechende Eingabefeld ein. Sie können diese URI von der Startseite Ihres SCEPman kopieren. Sie folgt dem Schema von https://scepman.contoso.com/step/policy. Nachdem Sie den CEP-Server eingegeben und validiert haben, können Sie die Einstellung abschließen, indem Sie ihn hinzufügen und den Dialog bestätigen.
Während des Konfigurationsprozesses führt der Client bereits einen Validierungsaufruf an den CEP-Server durch. Daher muss der für die Konfiguration verwendete Kontokontext die Berechtigung haben, auf den CEP-Endpunkt von SCEPman zuzugreifen, d. h. sich mit Kerberos zu authentifizieren, sowie ausgehenden Netzwerkzugriff auf Port 443 von SCEPman.
Bitte sehen Sie sich den Bekannte Probleme Abschnitt an, falls während der CEP-Server-Validierung ein Fehler auftritt.
Wenn Sie den SCEPman-CEP-Server parallel zu Ihrem vorhandenen ADCS verwenden, müssen Sie einen Standardserver auswählen und sicherstellen, dass Sie die vorhandene Registrierungsrichtlinie beibehalten.
2
Auto-Enrollment aktivieren
Mit dem registrierten CEP-Server können Ihre Benutzer/Computer Zertifikate von SCEPman anfordern. Normalerweise möchten Sie, dass dies automatisch und ohne Benutzerinteraktion geschieht, und dafür müssen Sie Auto-Enrollment aktivieren. Beachten Sie, dass dies möglicherweise bereits aktiviert ist, wenn Sie zuvor Autoenrollment mit Microsoft Active Directory Certificate Services (AD CS) verwendet haben.
Speicherort der Einstellung im Gruppenrichtlinienverwaltungs-Editor (gpmc.msc)
Stellen Sie sicher, dass Sie Zertifikate aktualisieren, die Zertifikatvorlagen verwenden aktivieren, um die automatische Registrierung zu ermöglichen.
3
Vertrauenswürdige Stamm-CA installieren
Wenn der Registrierungsrichtlinienserver und die Auto-Enrollment-Einstellungen eingerichtet sind, müssen Sie nur noch sicherstellen, dass Ihre Zielgeräte oder -benutzer Ihrem SCEPman-CA-Zertifikat vertrauen. Dazu müssen Sie das CA-Zertifikat in die entsprechende GPO-Einstellung importieren.
Speicherort der Einstellung im Gruppenrichtlinienverwaltungs-Editor (gpmc.msc)
