Windows Server 2008 R2 Gruppenrichtlinien für Zertifikate

Guten Tag zusammen,

ich bin zurzeit am verzweifeln wieso meine GPO nicht aktiv ist. Das Zertifikat ist Unter Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Richtlinien für öffentliche Schlüssel/Vertrauenswürdige Stammzertifizierungestellen eingetragen. Die Richtlinie ist verknüpft und gpresult am Client sagt mir das die GPO leer sei und deshalb abgelehnt wird.
Aber das Zertifikat ist doch eingetragen..
Kann mir jemand dazu was sagen und helfen ?
Hintergrund ist der, dass wir das zertifikat im Firefox benötigen.

Danke im vorraus

Hi

Welches OS läuft denn auf dem Client?

Gruss

Oh, vergessen zu erwähnen.
Der Client ist Windows 7 Pro.
Wurde gerade erst frisch installiert zum testen.

PS: Grad beim recherchen gefunden: https://www.gruppenrichtlinien.de/artikel/zertifikate-verteilen/

Genau so hab ich das ja gemacht. Nur ist das Zertifikat nicht am Client.

Unabhängig davon, dass die GPO nicht zieht, wird dir die Variante beim Firefox so wahrscheinlich nicht viel helfen, weil Firefox seinen eigenen CertStore pflegt und der unabhängig vom OS ist. Oder hast du die entsprechenden Vorbereitungen dafür schon getroffen? (admx-Templates für Firefox und was man da nicht alles machen muss)

E: Wie hast du das Zertifikat denn eingebunden? Über "importieren"? Oder Copy'n'Paste?

Hallo,

wie schon über mir erwähnt hat der Firefox seinen eigenen Zertifikatsspeicher und ich bin der Meinung, dass man das auch mit den ADM-Vorlagen für Firefox nicht ändern kann... Würde aber ohnehin empfehlen Firefox auf den dafür vorgesehenen Weg über die zentrale JS-Konfiguration zu verwalten, das geht sehr viel schmerzfreier durch die Browseraktualisierungen durch. So jedenfalls meine Erfahrungen mit ~ 8 Jahren Firefox-Entwicklungs- und Administrationsaufwand...

Wir schieben über eine zentrale Firefox-Konfigurationsdatei unser Domänen-Stammzertifikat in den internen Zertifikatsspeicher vom Firefox:

const Cc = Components.classes;
const Ci = Components.interfaces;
const certDB = Cc["@mozilla.org/security/x509certdb;1"].getService(Ci.nsIX509CertDB);
const cert = "MIIEtTCCA52gAwIBAgIQKT2........"; // <- Base64 kodiertes Zertifikat ohne Zeilenumbrüche
certDB.addCertFromBase64(cert, "C,C,C", "");

Abgesehen davon sollte die Stammzertifizierungsstelle in der Domain auch aus anderen Gründen ordentlich durch die GPO in den Windows-Zertifikatsspeicher eingetragen werden, sonst fliegt euch als nächstes Outlook + Exchange um die Ohren uvm.

Grüße

Guten Morgen,

wurde sauber importiert.
Ich werde mich dann mal über den Ansatz von @ayngush schlau machen.


Danke euch