Hallo!
Ich wollte das hier auf unserem UCS 4.3 nachvollziehen:
https://www.sit-administration.de/remote-desktop-zertifikat-mithilfe-einer-gruppenrichtlinie-automatisch-registrieren/
Die Zertifizierungstelle lässt sich ja noch nicht per MMC ansteuern. Lassen sich dennoch die Zerts der RDP-Server der Desktops von einer CA austellen?
Huhu,
für die UCS-CA kann man Rechnerzertifikate mit dem Befehl univention-certificate auf der Kommandozeile erzeugen lassen (als root, nur auf dem DC Master). Die erzeugten Zertifikate liegen dann in /etc/univention/ssl/<hostname> und funktionieren für alle üblichen Serverdienste. Sie liegen als einzelne, PEM-encodierte x509-Dateien herum. Benötigt man ein anderes Format, z.B. P12, muss man sie manuell in das Format umwandeln, z.B. mit openssl (Google hilft für die genaue Syntax).
Insgesamt hat man mit dem Tool aber relativ wenig Kontrolle darüber, was genau in das Zertifikat geschrieben wird. Wenn man gewisse Felder auf bestimmte Art und Weise gesetzt haben will, so muss man dann noch mehr Handarbeit anlegen und die dabei erzeugte openssl.cnf bearbeiten, den Request neu erzeugen, den Request neu signieren lassen. Der verlinkte Artikel macht aber nicht den Eindruck, als bräuchte man besondere Einstellungen im Zertifikat selber, daher scheint die von mir erwähnte Einschränkung kein Problem zu sein.
Weitere Informationen zu dem Thema gibt’s im Handbuch und in der Ausgabe von univention-certificate --help
m.
Ich habe eigentlich die Frage eher dahingehend verstanden, ob die erstellten Zertifikate per GPO ausrollbar sind. Das ist denke ich eher nicht möglich. Dazu müßte man sich selber etwas mit z.B. opsi scripten.
Edit: ah OK, nach erneutem Lesen des Artikels habe ich auch verstanden, was da passieren soll. Ja nee, das geht in der Tat mit UCS nicht.
Das wäre aber eine sehr nette Funktion 
Dann verhält sich UCS etwas mehr wie ein Windowsserver…