Autorenewal für bestimmte User deaktivieren

[Revan]

Guten Morgen,

ich möchte das Autorenewal der S/MIME Zertifikate unserer Swiss Sign MPKI für bestimmte User deaktivieren, weil sie z.B. in Rente gehen oder aus anderen Gründen ausscheiden.
Reicht es hierzu, das Zertifikat im NSP zu sperren oder wie sollte man hier vorgehen?

 

[StefanCink]

Hallo Revan,

es ist noch einfacher: Das Autorenewal basiert auf der Mitgliedschaft des Users in einer AD-Gruppe. Aus dieser Gruppe nimmst Du den User einfach heraus und schon wird kein neues Zertifikat mehr angefordert.
Gruß Stefan

 

[Revan]

Die zugrundeliegende AD-Gruppe beinhaltet bei uns aber alle aktiven User, daher fällt das für bestimmte Fälle raus.

 

[StefanCink]

Eine andere Möglichkeit gibt es nur leider nicht. NoSpamProxy fordert für alle Mitglieder der angegebenen Gruppe ein Zertifikat an. Ausnahmen sind nicht vorgesehen und aus meiner Sicht auch nicht sinnvoll. Ausgeschiedene Mitarbeiter sollten kein aktives AD-Konto haben und kein Mitglied irgendeiner Gruppe mehr sein.
Gruß Stefan

 

[Revan]

Hallo noch mal,

wie sollt man dann vorgehen, wenn ein Mitarbeiter bisher ein Zertifikat hatte und demnächst keines mehr benötigt?
Sprich, der User ist weiterhin aktiv und hat ein Postfach, es soll nur kein neues Zertifikat für dieses Postfach mehr abgerufen werden

 

[mabu]

Wir nutzen bei uns ein extra Gruppe nur für die Zertifikatserstellung - G_Benutzer_NoSpamProxy. Und wenn z.B. jemand in Elternzeit geht oder ausscheidet, dann wird der AD-User aus dieser Gruppe entfernt.

Und im NSP beim Autoimport ist dann nur für diese Gruppe der automatische Rollout eines S/MIME-Zertifikats konfiguriert

Sollte doch dann bei Dir kein Problem sein, hier von "alle" auf eine speziell nur dafür genutzte Gruppe umzustellen, oder?

 

[Revan]

Also Benutzerimport weiterhin über alle aktiven Nutzer, und im Reiter "Gruppen" die neue AD Gruppe hinzufügen und dort die Schlüsselanforderung aktivieren?
Da wir auch einige Sammeladressen mit Pseudonym-Präfix einsetzen, muss hier der Haken "Pseudonym-Präfix für Anfragen verwenden" gesetzt sein, oder macht man diese noch in eine extra Gruppe?

 

[mabu]

wir nutzen 3 Benutzerimporte.

Einen, der nur die OU abfragt, in der die AD-Userkonten liegen. Hier dann im Import im Reiter "Gruppen" diese Gruppe hinzugefügt und bei "Schlüsselimport" dann den gewünschten konfigurierten Anbieter ausgewählt. Bei SwissSign ist für Userkonten das mit em Pseudonym-Präfix nicht notwendig.

Die beiden anderen sind bei uns für Mailadressen aus Exchange Public Foldern notwendig. Wir haben die Besonderheit, dass wir leider in einer Multimandantendomäne arbeiten und hier gibt es vom Betreiber im Hintergrund manchmal Anpassungen, auf die wir dann auch im NSP reagieren müssen.

Da wir meines Wissens bei diesen Public Folder-Postfächern nicht mit Gruppen arbeiten können, haben wir hier keine automatische Zertifikatserstellung unter "Gruppen" eingerichtet.

Bei diesen Orga-Mail-Adressen müssen wir also manuell in "Unternehmensbenutzer" die Zertifikatsausstellung starten. Und da kann ich dann ja in der Anforderung bei "Allgemeiner Name" den Eintrag gefolgt von "(pseudonym)" auswählen.

 

[JanJäschke]

Wenn ihr mit mehreren Gruppen arbeitet könnt ihr auch zwischen Pseudo und nicht Pseudo unterscheiden, in der Gruppen Konfiguration des Benutzerimports gibt es eine Checkbox die ermöglicht Pseudo Anfragen zu automatisieren =)

@mabu wenn due Benutzerobjekte mit den E-Mail Adressen hast solltest du die auch im AD in eien Gruppe packen können und kansnt das so mit automatisieren.

 

[mabu]

bei den Benutzern klappt das ja über die besagte Gruppe und da benötige ich das "Pseudo" nicht.

Die Public Folder (hatte ich oben auch "Orga-Mail-Adressen" genannt - also info@ und so) können doch keine Gruppenzugehörigkeit haben, oder? Also zumindest bei uns durch die Multimandantendomäne schwierig. Wenn ich die Exchange-OUs ohne Filter auf unsere Maildomäne abfrage, dann erhalte ich halt Treffer von zig anderen Kunden, die auch in der Domäne gehostet werden. Blöd, ist aber bei uns leider so.