Hallo zusammen,
aktuell bin ich dabei eine PKI bei uns aufzubauen und stehe nun vor einem Problem, an welchem ich mir die Zähne ausbeiße. Ich hoffe, dass jemand von euch hier eine entsprechende Idee hat?
Infrastruktur
Windows 2012 R2 DC (keine Serverseitigen Profile)
Windows 2012 R2 mit Zertifikatdiensten
Diverse Clients (Win 7 & 10)
Was ist angedacht?
Ziel ist es, dass für jeden Benutzer im AD automatisch ein entsprechendes Benutzer-Zertifikat erstellt werden soll, um hiermit Dokumente zu signieren. Dies klappt auch wunderbar.
Jetzt meldet sich ein Benutzer jedoch an einem weiteren PC an und erhält nicht automatisch ein neues Zertifikat (da die Option "Nicht automatisch neu registrieren wenn ein identisches Zertifikat bereits in Active Directory gespeichert ist" aktiv
ist), soll aber dennoch seine Dokumente signieren können. Dies ist jedoch nicht möglich, da das Zertifikat als solches ja nicht zur Verfügung steht. Zwar erscheint es im Certmgr unter Active-Directory-Benutzerobjekt, hat aber keinen Private Key, wodurch die
Signatur nicht möglich wäre.
Wie löse ich dieses Problem so, dass das Zertifikat inkl. Private Key immer mit dem Benutzer "wandert" und entsprechend synchronisiert wird? Oder mache ich einen Denkfehler bei der Funktionsweise?
Danke für die Mithilfe!
