Diese Zertifikatsregistrierung basiert auf dem XCEP und WSTEP Protokollen, die alle aktuellen Windows-Versionen nativ unterstützen. In Active Directory-Umgebungen können die notwendigen Einstellungen über Gruppenrichtlinien (GPO) angewendet werden, damit AD-verbundene Computer Zertifikate von SCEPman anfordern.
In diesem Szenario sind drei Gruppenrichtlinieneinstellungen für eine vollständig automatisierte Bereitstellung von Zertifikaten erforderlich.
1
Registrierung des CEP-Servers
Der CEP- (Certificate Enrollment Policy) Server (Teil von SCEPman) stellt einem authentifizierten Client eine Richtlinie zur Verfügung, die alle auf SCEPman für die Active Directory-Anmeldung konfigurierten Zertifikatvorlagen enthält. Der CEP-Server muss in der Registrierung auf den Clients hinzugefügt werden. Windows enthält GPO-Vorlagen, um die notwendigen Einstellungen in der GUI zu konfigurieren.
Richtlinienkonfiguration
Für die Zertifikatvorlagen Gerät und DCmüssen Sie in den Computer-Konfigurations- Zweig gehen. Für und beachten Sie die folgenden Unterschiede:navigieren Sie im Benutzer-Konfigurations- Zweig. Wenn Sie Zertifikatvorlagen beider Arten verwenden, müssen Sie beide konfigurieren. In diesem Fall verwenden Sie in der Regel zwei GPOs: eines, das auf die Benutzer mit der Benutzerkonfiguration angewendet wird, und eines, das auf die Computer mit der Computerkonfiguration angewendet wird.
Ort der Einstellung im Group Policy Management Editor (gpmc.msc)
Fügen Sie in der Einstellung einen neuen CEP-Server in der Liste hinzu und geben Sie die URI des Richtlinienservers in das entsprechende Eingabefeld ein. Sie können diese URI von der Startseite Ihres SCEPman kopieren. Sie folgt dem Schema https://scepman.contoso.com/step/policy. Nach Eingabe und Validierung des CEP-Servers können Sie die Einstellung abschließen, indem Sie ihn hinzufügen und den Dialog bestätigen.
Im Konfigurationsprozess führt der Client bereits einen Validierungsaufruf an den CEP-Server durch. Daher muss der für die Konfiguration verwendete Kontokontext die Berechtigung haben, auf den CEP-Endpunkt von SCEPman zuzugreifen, d. h. sich mit Kerberos zu authentifizieren, sowie ausgehenden Netzwerkzugriff auf Port 443 von SCEPman zu haben.
Wenn Sie den SCEPman-CEP-Server parallel zu Ihrem bestehenden ADCS verwenden, müssen Sie einen Standardserver wählen und sicherstellen, dass Sie die bestehende Registrierungsrichtlinie beibehalten.
2
Auto-Enrollment aktivieren
Mit dem registrierten CEP-Server können Ihre Benutzer/Computer Zertifikate von SCEPman anfordern. In der Regel möchten Sie, dass dies automatisch ohne Benutzerinteraktion geschieht; dafür müssen Sie Auto-Enrollment aktivieren. Beachten Sie, dass es möglicherweise bereits aktiviert ist, wenn Sie zuvor Auto-Enrollment mit Microsoft Active Directory Certificate Services (AD CS) verwendet haben.
Ort der Einstellung im Group Policy Management Editor (gpmc.msc)
Stellen Sie sicher, dass Sie Zertifikate aktualisieren, die Zertifikatvorlagen verwenden aktivieren, um die automatische Registrierung zu ermöglichen.
3
Vertrauenswürdige Stamm-CA installieren
Mit dem Richtliniendienst für die Registrierung und den Auto-Enrollment-Einstellungen müssen Sie nur noch sicherstellen, dass Ihre Zielgeräte oder Benutzer Ihrem SCEPman-CA-Zertifikat vertrauen. Dazu müssen Sie das CA-Zertifikat in der entsprechenden GPO-Einstellung importieren.
Ort der Einstellung im Group Policy Management Editor (gpmc.msc)
