Ich werde oft von Kunden gefragt: "Wie funktioniert die automatische Anmeldung und unter welchen Umständen werden Verlängerungen, Ersetzungen, Widerrufe und Aktualisierungen vorgenommen?"
Erstens: Die automatische Registrierung erfolgt nicht automatisch. In der Gruppenrichtlinie muss festgelegt werden, dass die Clients sich automatisch anmelden können und welche Arten der automatischen Anmeldung zulässig sind. Anschließend muss diese Richtlinie an alle Clients in der Domäne weitergegeben werden. Schließlich muss die in der Domäne registrierte Zertifizierungsstelle die Vorlagen für die automatisch zu registrierenden Zertifikate ausstellen. Dazu gehören Computer-, Domänencontroller- und Benutzerzertifikate.
In einer normalen Umgebung wird die automatische Registrierung innerhalb weniger Minuten beginnen. Die meisten Umgebungen sind nicht normal. Es muss eine Replikation stattfinden und das GPO muss aktualisiert werden. Die Client-Rechner versuchen dann, in regelmäßigen Abständen zu aktualisieren. Dies geschieht in der Regel alle 8 Stunden, es sei denn, dies wird durch eine Richtlinie geändert.
Jetzt kommt der schwierige Teil. Sobald Maschinen über Zertifikate verfügen, müssen diese aktualisiert, erneuert, widerrufen oder ersetzt werden.
Wenn eine Vorlage für die automatische Registrierung geändert wird, wird ein neues Zertifikat bei der Zertifizierungsstelle angefordert. Das aktuelle Zertifikat verbleibt im Maschinenspeicher, bis das neue Zertifikat ausgestellt ist, und wird dann gelöscht (dies wird durch die Richtlinie gesteuert und kann geändert werden).
Wenn das aktuelle Zertifikat widerrufen wurde, versucht der Client, im nächsten verfügbaren Zeitraum ein neues Zertifikat zu erhalten, sobald er erkennt, dass das Zertifikat widerrufen wurde.
Das Ersetzen ist ein wenig schwieriger. Wenn Sie eine neue Zertifizierungsstelle einrichten und die automatische Registrierung auf diese Zertifizierungsstelle umstellen möchten, werden die aktuellen Zertifikate nicht automatisch neu registriert. Da das aktuelle Zertifikat noch gültig ist, wird auf den Erneuerungszeitraum gewartet, um das Zertifikat zu ersetzen. Da die alte Zertifizierungsstelle nicht außer Betrieb genommen wird und weiterhin CRLs veröffentlicht werden, kann dies ein längerer Zeitraum sein.
Erneuerung. Dies ist der am meisten missverstandene Teil des automatischen Anmeldevorgangs. Jedes ausgestellte Zertifikat hat einen Verlängerungszeitraum als Teil der Vorlage. Dies bedeutet nicht unbedingt, dass das Zertifikat genau zu Beginn dieses Zeitraums erneuert wird. Für die Erneuerung von automatisch registrierten Zertifikaten gibt es zwei Zeitrahmen, bevor die Aktion durchgeführt wird.
Zunächst muss das Zertifikat 80 % seiner Gültigkeitsdauer erreicht haben und sich innerhalb des Verlängerungszeitraums befinden. So erreicht beispielsweise ein Zertifikat, das ein Jahr gültig ist, die 80 %-Marke nach etwa 41,5 Wochen, und wenn das Zertifikat einen 6-wöchigen Verlängerungszeitraum hat, würde die Erneuerung nach 46 Wochen erfolgen. Dies würde also während des Verlängerungszeitraums geschehen.
Wenn der Gültigkeitszeitraum 6 Monate beträgt, wäre die 80 %-Marke in Woche 21 erreicht, aber der Verlängerungszeitraum würde in Woche 20 beginnen.
Das alles scheint einfach zu sein, ist aber manchmal sehr verwirrend.
