Zertifikatregistrierung

Wird die automatische Zertifikatregistrierung innerhalb der Domäne per Gruppenrichtlinien verwaltet, erhalten Benutzer unter Umständen nach Starten des Rechners folgende Meldung:

Sie haben Zertifikate, die bald ungültig werden oder bereits ungültig sind. Klicken Sie hier um diese Zertifikate anzusehen und um zu entscheiden, welche Aktion durchgeführt werden soll.


Durch Klicken auf diese Blase öffnet sich ein Fenster, welches die vermeintlich abgelaufenen Zertifikate auflistet. Allzu viele Optionen bietet dieses Fenster nicht – man kann lediglich die Benachrichtigung für das jeweilige Zertifikat (bzw. für alle Zertifikate) deaktivieren. Der eigentliche, entscheidende Schritt, nämlich das Zertifikat zu erneuern, wird hierüber nicht angeboten. Die Erneuerung muss entweder manuell über die MMC, oder besser (per Gruppenrichtlinie gesteuert) automatisch erfolgen.


Wird die Erneuerung per Gruppenrichtlinie gesteuert, gibt es zwei mögliche Gründe für diese Meldung:

1) Der Rechner kann die Zertifizierungsstelle nicht erreichen und somit das Zertifikat nicht erneuern.
2) Die Ablaufbenachrichtigung erfolgt zu früh (das Zertifikat ist noch länger gültig, der User wird dennoch benachrichtigt).

Für Punkt 1) kann es mehrere Ursachen geben (Server ist heruntergefahren; Firewall blockiert Traffic zwischen Rechner und Server; Rechner oder Benutzer haben nicht [mehr] die entsprechenden Berechtigungen das Zertifikat zu erneuern;…) auf die ich hier nicht eingehen möchte. Stattdessen möchte ich die Ablaufbenachrichtigung genauer betrachten.

Innerhalb der Gruppenrichtlinie (Benutzerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für öffentliche Schlüssel) kann die Ablaufbenachrichtigung in den Eigenschaften des Objekts „Zerfitikatdienstclient – Automatische Registrierung“ konfiguriert werden. Diese wird in Prozent-Schritten definiert und ist standardmäßig auf 10% eingestellt.


Diese 10% sagen aus, dass der Benutzer über das Auslaufen des Zertifikats benachrichtigt wird, sobald das Zertifikat 90% seiner Gültigsdauer erreicht hat. Beispiel: Gültigkeitsdauer des Zertifikats = 100 Tage | nach 90 Tagen wird der Benutzer benachrichtigt. Um diese Benachrichtigung zu umgehen, muss die Zertifikatseerneuerung vorher, sprich innerhalb der ersten 90 Tage, stattfinden.

Social tagging: >

Schreibe einen Kommentar


8 + sechs =

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.