none
Installazione Certificato Macchina via GPO RRS feed

  • Domanda

  • Buon giorno,

    sto cercando di automatizzare l'installazione del certificato macchina sui PC di dominio. Oltre all'installazione ho necessità di  rinnovare eventuali certificati scaduti già presenti sul computer. Quindi le macchine che non hanno certificato dovranno trovarsene uno nuovo e valido mentre quelle con a bordo il certificato scaduto dovrà essere rinnovato. La GPO deve avere affetto anche per le utenze non amministratrici del PC.

    Attualmente ho seguito questa guida: http://www.vkernel.ro/blog/set-up-automatic-certificate-enrollment-autoenroll

    Purtroppo senza successo e da gpresult /v visualizzo "Filtro: Non applicato (Vuoto)".

    Il domain controller è un Windows 2008 R2 SP1, i client sono Windows 7 PRO SP1, il server CA è un Windows 2008 SP1.

    Se la richiesta di nuovo certificato viene fatta da PC tramite mmc funziona, ovviamente solo con utenza amministratrice.

    Spero di aver fornito tutte le informazioni necessarie.

    Grazie

    Ciao

    mercoledì 9 settembre 2015 10:55

Risposte

Tutte le risposte

  • Buongiorno Rino,

    qualche domanda per isolare meglio il problema

    1) Hai creato una GP ad hoc per l'attività di autoenroll dei certificati?

    2) La policy in questione ha implementato dei Security Filtering non-standard (di default la GP si applica a "All Authenticated Users")

    3) Hai attivato in passato il Policy Loopback Processing?

    mercoledì 9 settembre 2015 12:10
  • Ciao a.guidotti,

    1) Si.

    2) Inizialmente a "All Authenticated Users" e poi solo a me (per evitare eventuali danni).

    3) Mi trovi impreparto su questa domanda.

    mercoledì 9 settembre 2015 12:39
  • Ok.

    Puoi copia-incollare qui l'output del gpresult, ed eventuali entry di errore sul System event log con origine Group Policy?

    mercoledì 9 settembre 2015 13:16
  • Come output da gpresult mi da "Filtro: Non applicato (Vuoto)" mentre dagli eventi di sistema trovo solo l'ID Event 1503 (Elaborazione delle impostazioni Criteri di gruppo per l'utente completata. Sono state rilevate e applicate nuove impostazioni da 8 oggetti Criteri di gruppo.).
    giovedì 10 settembre 2015 10:48
  • le policy sembra che vengano applicate correttamente quindi qualcosa non va nell'autoenrollment dei certificati.

    ammesso che la pubblicazione dei template sia corretta, quali errori trovi nel registro eventi del client con source CertEnroll ?


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org


    giovedì 10 settembre 2015 14:13
    Moderatore
  • Non ho trovato nulla in merito... abbiamo però provato da cmd utilizzando il seguente comando:

    CertReq -q -Enroll -machine -config "xxx.dominio\xxx CA"  xxxComputer

    Parte l'interfaccia grafica ma non permette di selezionare il PC (client Windows 7).

    Lanciando il comando in silent mode riceviamo questo errore:

    Elaboratore richieste di certificati: Non implementato 0x80004001 (-2147467263)

    Se invece operario a mano da mmc tutto funziona regolarmente, ovviamente con utenza amministratrice.

    Il comando, se funzionasse, potrebbe essere una valida alternativa...

    venerdì 11 settembre 2015 13:45
  • Non ho trovato nulla in merito... 

    non trovi niente nenache di origine

    CertificateServicesClient-AutoEnrollment

    oppure

    CertificateServicesClient-Enrollment

    ?

    http://blogs.technet.com/b/instan/archive/2009/12/07/troubleshooting-autoenrollment.aspx


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    venerdì 11 settembre 2015 13:59
    Moderatore
  • Ciao Rino,

    Il tuo thread nel Forum di TechNet è ancora aperto per noi.
    Se i consigli ricevuti ti sono stati utili, ricorda di evidenziare la soluzione cliccando su "Segna come Risposta". Aggiungo che il tuo riscontro tornerà sicuramente utile per chi si dovesse trovare nella medesima situazione, così è molto gradito dai membri della community se puoi condividere una soluzione tua.

    Grazie della collaborazione.


    • Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è e non comporta alcuna responsabilità da parte dell’azienda.

    venerdì 18 settembre 2015 09:29
  • Ciao Edoardo,

    scusa il ritardo nel risponderti. Purtroppo per mancanza di tempo abbiamo dato istruzioni su come installare autonomamente da mmc il certificato macchina.

    Per me si può chiudere il thread anche se sarebbe bello poterlo riaprilo in futuro per approfondire il discorso, sicuramente molto utile.

    Ciao

    venerdì 20 novembre 2015 13:35
  • ok, grazie del feedback, ciao.

    <strong><a href="http://mvp.microsoft.com/it-it/mvp/Edoardo%20Benussi-10087">Edoardo Benussi</a></strong><br/> Microsoft MVP - Enterprise Mobility<br/> <strong>edo[at]mvps[dot]org</strong>

    venerdì 20 novembre 2015 13:49
    Moderatore