Selbstsigniertem SSL Zertifikat durch eine Gruppenrichtlinie vertrauen

Mittlerweile werden viele Funktionen durch SSL-Zertifikate abgesichert. Exchange, Forefront TMG und VPN-Verbindungen sind auf SSL-Zertifikate angewiesen. Diese Produkte stellen meist ein selbstsigniertes Zertifikat aus. Da diese nur intern benötigt werden, bietet es sich an diesen Zertifikaten zu vertrauen, damit keine Zertifikatswarnung erscheint. Dazu muss das Zertifikat in den Zertifikatsspeicher der Clients  importiert werden. Dies lässt sich zentral durch eine Gruppenrichtlinie erledigen.

Dazu wird das Zertifikat benötigt, welches an die Clients verteilt werden soll. Dies kann man in der Regel aus dem administrativen Bereich herunterladen. (z.B. TMG, Verwaltung, Exchange Verwaltungskonsole, etc.)

In diesem Beispiel habe ich ein Zertifikat eines Forefront TMG Servers. Diesem Zertifikat sollen alle Server und Clients in der Domäne vertrauen. Dazu kann ein vorhandenes oder neues Gruppenrichtlinienobjekt direkt unterhalb der Domäne verwendet werden.

Unter Computerkonfiguration/Richtlinien/Windows Einstellungen/Sicherheitseinstellungen/Richtlinien für öffentliche Schlüssel/Vertrauenswürdige Stammzertifizierungsstellen im Kontextmenü den Punkt Importieren… wählen.

clip_image001

Der Zertifikatimport-Assistent wird gestartet. Die Willkommensmeldung mit einem Klick auf Weiter zur Kenntnis nehmen.

clip_image002

Den Pfad zum Zertifikat angeben und auf Weiter klicken.

clip_image003

Das Zertifikat wird im Zertifikatsspeicher für Vertrauenswürdige Stammzertifizierungsstellen gespeichert. Dies mit Weiter bestätigen.

clip_image004

Es wird eine Zusammenfassung der vorgenommenen Einstellungen angezeigt. Mit einem Klick auf Fertig stellen wird das Zertifikat importiert.

clip_image005

Der erfolgreiche Zertifikatsimport wird bestätigt.

clip_image006

Das Zertifikat wird nun an alle Computer der Domäne verteilt. Nachdem die Computer das Zertifikat erhalten haben, vertrauen diese dem Zertifikat.

Werbung
Ähnliche Artikel

Werbung

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.