> For the complete documentation index, see [llms.txt](https://docs.stoik.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.stoik.io/cyber-best-practices/de/harten-sie-ihre-umgebung-ab/implement-certificates/deploying-user-certificates-within-the-active-directory.md).

# Bereitstellung von Benutzerzertifikaten innerhalb von Active Directory

### Installieren der Rolle „AD-Zertifikatdienste“

Installieren Sie die **"Active Directory-Zertifikatdienste"** Rolle auf einem Ihrer Server. Es ist wichtig zu beachten, dass ein Server, der diese Rolle hostet, als hochsensibel betrachtet werden sollte und ein Schutz- und Überwachungsniveau ähnlich dem eines Domänencontrollers haben muss.

![](/files/4537c0f488f32b15b78a4d3d98cba99099bd24d5)

Befolgen Sie die Konfigurationsanweisungen der Zertifizierungsstelle entsprechend den Anforderungen Ihres Unternehmens.

![](/files/94ef16fe163e81b3903862f6da168ff37763ec9a)

![](/files/0c660cc270603749b391e4b97400c72b78a4d666)

![](/files/7a752a57775540423bd3dd71c88de1fdad3db5d7)

### Erstellen einer neuen Zertifikatvorlage

Öffnen Sie den Zertifikat-Manager (certsrv) und den **"Zertifikatvorlagen"** Ordner.

![](/files/6bec477e6a549e9e60d45629e5b040bb9e6e3a02)

Klicken Sie mit der rechten Maustaste auf den **"Zertifikatvorlagen"** Ordner und wählen Sie **"Verwalten"**, klicken Sie dann mit der rechten Maustaste auf **"Benutzer"** und wählen Sie schließlich **"Vorlage duplizieren"**.

![](/files/7b6dc09845cba78064e727dad6e635a962f570bf)

Benennen Sie die neu erstellte Vorlage um in **"Benutzer v2"**.

![](/files/9e4cf25fd111b267be1aa7bdbaaf958419bb4f4d)

In der **"Sicherheit"** Registerkarte aktivieren Sie die Berechtigungen **"Lesen"**, **"Registrieren"**, und **"Automatische Registrierung"** für Domänenbenutzer.

![](/files/bed0f6de5bc8e3a91afe4a35b28389639e5ea251)

Falls erforderlich, kann die Anwendungsrichtlinie dieser neuen Vorlage geändert werden. In den meisten Fällen werden diese Zertifikate für die Benutzerauthentifizierung verwendet. Stellen Sie daher sicher, dass die Anwendungsrichtlinie **"Clientauthentifizierung"**&#x65;nthält. Andere Anwendungsrichtlinien können bei Bedarf entfernt werden.

![](/files/344815a2ab7a6b5c06ac12dc3e0e571311432611)

In der **"Anforderungsbehandlung"** Registerkarte deaktivieren Sie die Option **"Export des privaten Schlüssels zulassen"**.

![](/files/e0842e15e443bbf651decd7a9f9fac563f6d4b79)

Bestätigen Sie die Erstellung dieser neuen Vorlage.

Kehren Sie zum Fenster der Zertifizierungsstelle (certsrv) zurück, klicken Sie mit der rechten Maustaste auf **"Zertifikatvorlagen"**, und wählen Sie dann **"Neu"**, und schließlich **"Auszugebende Zertifikatvorlage"**.

![](/files/8a558cebf057021b50a3368ee09604ce7eabc92c)

Wählen Sie die neu erstellte Vorlage aus und klicken Sie auf **OK**.

Die neue Vorlage sollte nun im aktuellen Fenster angezeigt werden.

![](/files/e421c4896ce2260777c42824732b0c996e65c5ee)

### Aktivieren der automatischen Registrierung für Domänenbenutzer

Melden Sie sich an einem Domänencontroller an und öffnen Sie das **Gruppenrichtlinienverwaltung** -Tool. Erweitern Sie die Domäne, für die Sie die automatische Registrierung aktivieren möchten, und öffnen Sie dann den **"Gruppenrichtlinienobjekte"** Ordner. Klicken Sie mit der rechten Maustaste auf **"Standarddomänenrichtlinie"** und klicken Sie auf **"Bearbeiten"**.

![](/files/22859147a74a2b5db235c60fef9da2aea7ad2c32)

Gehen Sie zu:\
\&#xNAN;**"Benutzerkonfiguration" → "Richtlinien" → "Windows-Einstellungen" → "Sicherheitseinstellungen" → "Richtlinien für öffentliche Schlüssel"**, und klicken Sie dann auf **"Zertifikatdienste-Client – automatische Registrierung"**.

![](/files/92bdef649f310e7f1cd97a44237bae8abbbaba54)

Wählen Sie **"Aktiviert"** für die **"Konfigurationsmodell"** Option aus und aktivieren Sie die ersten beiden Kontrollkästchen:

* **"Abgelaufene Zertifikate erneuern \[...]"**
* **"Zertifikate aktualisieren \[...]"**

![](/files/ae0ff0692fce4e9cf7ccd8637190d0d16efec366)

Klicken Sie dann auf **OK**.

Klicken Sie einfach **OK** erneut und schließen Sie das GPO.

Geben Sie in einer Sitzung eines Domänenbenutzers **"gpupdate /force"** ein und warten Sie, bis die GPO angewendet wurde. Anschließend sollte ein Zertifikat in Ihrem Zertifikatspeicher erscheinen. Falls nicht, verwenden Sie den Befehl **"gpresult /r"** um sicherzustellen, dass die GPO korrekt angewendet wurde.

Im folgenden Bild ist das Zertifikat des Benutzers **"Administrator"** sichtbar.

![](/files/eddc99203750c42a996ea240fbbedf9d9d6adb51)


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.stoik.io/cyber-best-practices/de/harten-sie-ihre-umgebung-ab/implement-certificates/deploying-user-certificates-within-the-active-directory.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
