Hallo,
wenn ihr mal ein Selbstsigniertes Zertifikat via Gruppenrichtlinie verteilen müsst, zeige ich euch hier wie das geht.
Zur Grundsituation:
In der Regel sieht es ja so aus, das ihr beim Kunden einen Exchange Server habt und dort ein Selbstsigniertes Zertifikat eingepflegt ist. Das Problem besteht darin, dass Outlook dann immer meckert, das es nicht von einer Vertrauenswürdigen Stammzertifizierungsstelle kommt. Hier der Screenshot:
Das stört die meisten Kunden und sind verärgert, was ja auch verständlich ist. Und um diese Meldung zu verhindern das, dass Sicherheitszertifikat nicht als Vertrauenswürdig eingestuft, ist richten wir die Domänenbezogene Gruppenrichtlinie ein.
Als Erstes müssen wir auf dem Exchange Server das Zertifikat Exportieren. Starten Sie hierzu auf dem Exchange Server die MMC Konsole. Win+R und dann mmc eingeben.
Daraufhin öffnet sich das Konsolenfenster. Gehen sie hier dann auf
Datei -> Snap-In hinzufügen
Scrollen Sie im nächsten Fenster im linken Bereich nach unten und wählen Sie Zertifikate aus und auf hinzufügen
Dann wählen Sie Computerkonto aus und auf weiter
und anschließend Lokaler Computer und dann auf Fertigstellen
Jetzt Sollte das Snap-In Fenster so aussehen und dann Klicken wir auf OK.
Nagut Jetzt klappen wir im Konsolenfenster die Register auf zu -> Zertifikate -> Eigene Zertifikate -> Zertifikate
Wählen Sie dann das Exchange Zertifikat aus und machen einen Rechtsklick -> Alle Aufgaben -> Exportieren
Es öffnet sich nun der Zertifikats Export Assistent -> Wählen Sie Privaten Schlüssel nicht exportieren und auf weiter
Im neuen Fenster wählen wir jetzt -> DER codiert binär X.509 (.CER) und dann auf weiter
Jetzt geben Sie den Speicherort an wo das Zertifikat hin Exportiert werden soll und anschließend auf Weiter.
Im nächsten Bild sehen wir eine kleine Zusammenfassung und Klicken auf Fertigstellen
So das war es jetzt schon mit dem Export und wir können nun rüber zu dem Domänencontroller wechseln und dort das Gruppenrichtlinienobjekt bearbeiten um das Zertifikat zu importieren.
So angekommen auf dem DC öffnen wir die Gruppenrichtlinienverwaltung zu finden ab Windows Server 2012 unter dem Servermanager -> Tools -> Gruppenrichtlinienverwaltung oder über Start-> Ausführen (Win+R) und dann gpmc.msc eintragen und Enter Drücken.
So Hier öffnen sich nun die Gruppenrichtlinienverwaltung -> Klappen hier das Register Domänen auf und machen dann einen Rechtsklick auf Default Domain Policy und wählen dann bearbeiten.
Jetzt öffnet sich der Gruppenrichtlinienverwaltungs-Editor
Klappen Sie jetzt die Registerkarten unter Computerkonfiguration -> Richtlininen -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für öffentliche Schlüssel auf.
Dort finden Sie den Punkt „Vertrauenswürdige Stammzertifizierungsstellen“ <- Dieser ist wichtig für uns, weil wir hier jetzt das Exportierte Zertifikat hier importieren müssen.
So wenn wir jetzt auf Importieren klicken, startet der Zertifikatimport-Assistent. Hier können wir direkt auf Weiter klicken.
Im nächsten Fenster müssen wir jetzt das zu Importierende Zertifikat auswählen. Entweder über „Durchsuchen“ oder bsp.: „\\vm-exchange\Zertifikat\ExchangeZertifikat.cer“ also in diesem Schema und dann auf Weiter.
Als Nächstes geben wir den Zertifikatsspeicher an wobei dieses ja klar ist, weil wir ja das Zertifikat in dem Bereich „Vertrauenswürdige Stammzertifikate“ importieren. Dies sollte dann auch schon im Feld stehen. Und dann auf Weiter klicken.
Jetzt sehen wir noch einmal die Zusammenfassung zum überprüfen und wir müssen nur noch auf Fertigstellen klicken.
So wenn das alles Erledigt ist, können wir alle geöffneten Fenster schließen die wir benötigt haben und uns zurück lehen, da wir jetzt die Gruppenrichtlinie zur Verteilung des Zertifikats erfolgreich eingebunden haben.
Damit die Domänen Benutzer auch das Zertifikat erhalten gibt es ein paar möglichkeiten.
Wir können dem Kunden so etwas sagen wie „Starten Sie ihr System bitte einmal neu und melden sich an“ , weil durch den Neustart(Neuanmeldung des Benutzers) greift die Gruppenrichtlinie.
Wir hätten auch sagen können melden Sie sich mal ab und wieder an.
Oder wenn wir dem Kunden mehr zutrauen oder wir uns via Fernwartung aufschalten können dann geht das auch über den CMD befehl: gpupdate /force und zum überprüfen welche regeln greifen gibt es noch den Befehl: gpresult /v .
So ich hoffe euch hat das Tutorial gefallen und ich konnte dem einen oder anderen weiterhelfen. Ich habe der einfachheit direkt die Default Domain Policy bearbeitet und kein neues eigenständiges Gruppenrichtlinienobjekt erstellt bevor da jetzt eine Diskussion entsteht.
Gruß Markus