3 Dinge für eine automatische Registrierung
Für die Erfüllung der Voraussetzungen für eine automatische Zertifikatverteilung oder einer automatischen Zertifikatregistrierung benötigen wir neben der Vorlage
Voraussetzungen für eine automatische Zertifikatverteilung
- die Berechtigung
- eine Gruppenrichtlinie &
- Firewall-Ports
Damit ein Computer oder ein Benutzer von der automatischen Verteilung profitieren können, benötigen sie zuerst das Recht auf die entsprechende Vorlage zugreifen zu dürfen.
Dann muss dem Computer oder dem Benutzer noch mitgeteilt werden, das sie an dem Prozess der automatischen Zertifikatregistrierung (anfordern und registrieren) mit machen.
Zum Abschluss muss das Netzwerk noch entsprechend vorbereitet werden. Ein Client benötigt für die Übermittlung der Anforderung und Registrierung den Port 135 (RPC-Endpointmapper) und einen Highport in der Range 49152-65535.
Die automatische Registrierung wird für einen Computer nach einem Neustart ausgeführt oder alle 8 Stunden. Für einen Benutzer nach der Anmeldung oder Entsperrung. Verantwortlich dafür ist das Public Key Service Object.
Wer das focieren möchte kann über die Kommandozeile folgende Befehle absetzen:
Certutil -pulse
Certuil -user -pulse
Hinweis
Wer diese Option aktiviert, der entfernt manuell angeforderte Zertifikate aus dem Speicher, sofern diese mit der Vorlage für die automatische Registrierung übereinstimmt.
https://www.der-windows-papst.de/2020/07/29/certificate-authority-rpc-error-1722/