Thema: Zertifizeriungstelle mit automatischer RootCA Verteilung ( Einst. Architektur)

[skyerjoe]

Morgen Leutz

Ich will gern eine Zertifizierungsstelle einrichten, und mit deren Hilfe eine RootCA an unsere  Clients verteilen.

Der Server ist ein Windows Server 2008 R2 ..... die clients sind xp rechner mit sp2 ... und der Linux Server ist Ubuntu

Jetzt habe ich schon folgende Schritte vorgenommen:


Zertifzierrungsstelle installiert und Schlüssel und CA Certificate erstellt und konfiguriert.
1. http://technikblog.rachfahl.de/technik/einrichten-einer-microsoft-pki-mit-windows-server-2008-r2/

Bestehende Zertifikate gelöscht nach folgender Anleitung  :
1.http://support.microsoft.com/kb/555151/en-us?fr=1

Enrollments :
1. http://technet.microsoft.com/en-us/library/dd379539%28WS.10%29.aspx
2. http://openbook.galileocomputing.de/windows_server_2008/windows_server_2008_kap_12_008.htm#mj8b7e4426553c206ff8c853aa7e66acf8

Trusted Puiblishers Eintrag:
1. http://www.bibble-it.com/2008/09/03/adding-trusted-publishers-certificate-with-group-policy

Guppenrichtlinien:
2. http://technet.microsoft.com/de-de/library/cc770315%28WS.10%29.aspx

Stores:
1. Certificate befindet sich im Root CA und in Vertrauenswürdigen Zertifizierungssstellen im Container "local machine" und "local user".

Verify:
1.Zertifikat verglichen mit den Programmen Openssl und Certutil ( fingerprint und schlüsselkenung ... verifizierung etc.. )



Linux Seite:
Per makecert das zertifikat importiert mit dem erstellt und signiert und linux übergeben und konfiguriert.


So... was geht ... wenn sich der Client mit dem Server verbindet ( Clientauthentifizierung ) dann holt er sich das Zerfikat und kann erkennt auch dann dementsprechend die Trusted Certstelle im IE... aber.. wenn ich die Zertifikate händisch aus den Stores wieder entferne ... dann holt sich der IE das Zertifikat nicht selber.

Wäre schön wenn das klappen würde ..


grüße skyerjoe

[WTBuddha]

Hallo skyerjoe,

wenn sich der Client mit dem Server verbindet ( Clientauthentifizierung ) dann holt er sich das Zerfikat

Heißt das, dass er dich beim Verbinden auf den Server auffordert, das Zertifikat zu installieren? Dies dürfte er gar nicht mehr, wenn das Zertifikat per Gruppenrichtlinie verteilt wurde. Könntest du - wenn dies der Fall ist - mal auf dem Client "gpresult" ausführen und prüfen, ob der Client unter

COMPUTEREINSTELLUNGEN
----------------------
Angewendete Gruppenrichtlinienobjekte
--------------------------------------

die GPO auch auflistet?

dann holt sich der IE das Zertifikat nicht selber.

Wenn das Zertifikat per GroupPolicy verteilt wird, kriegt es der Client, bei jedem Start - falls nicht vorhanden - neu zugeteilt.

Gib mal Bescheid, ob ich dich komplett falsch verstanden habe oder zumindest der Ansatz passt ;-)

GreeZ
EzE

[WTBuddha]

skyerjoe scheint sich anderweitig helfen zu lassen ->

Ich denke mit dem Link kann der Thread geschlossen werden.

[skyerjoe]

@WTBuddha

skyerjoe scheint sich anderweitig helfen zu lassen -> (www.mcseboard.de [...] /rootca-automatisch-ad-verteilen-2-177395.html)

Ich denke mit dem Link kann der Thread geschlossen werden.

Nein bitte nicht schliessen ... da sich für mich immer meistens ein Gesamtbild ergibt... und deine Ausführungen sind atm  Gold

Wenn das Zertifikat per GroupPolicy verteilt wird, kriegt es der Client, bei jedem Start - falls nicht vorhanden - neu zugeteilt.


Gib mal Bescheid, ob ich dich komplett falsch verstanden habe oder zumindest der Ansatz passt ;-)

Das passt perfekt ...




Aber.. ich bin noch am rum experimentieren.. und es zeichnet sich ein Ergebnis ab

Ich meld mich dann nochmal falls ich probleme habe

Trotzdem schonmal Danke

grüße sykerjoe

[skyerjoe]

So...

Ich wollte diesen Thread abschließen ... dachte ich aber auf meinem Prod System will er partout nicht die LDAP verb. per SSL herstellen ( getestet mit ldp.exe) , obwohl nach meiner Meinung nach alles so, wie im Test System ist.  

Meine Schritte:

1. Root CA auf Linux Maschine mit openssl erstellt
Erstellen eines Server-Zertifikates
mathias-kettner.de/lw_ca_zertifikat_erstellen.html

2. Gpo erstellt und das Root CA in Trusted Cert Container eingestellt
technet.microsoft.com/en-us/librarycc770315%28WS.10%29.aspx

3. Request Datei auf windows server erstellt:
siehe hier:
support.microsoft.com/kb/321051/de]

4. Auf Linux Kiste mit dem Root CA zertifiziert per openssl

5. in die windows server umgebung mit certrequest accept eingebunden
Aktivieren von LDAP über SSL mit einer Fremdanbieter-Zertifizierungsstelle
support.microsoft.com/kb/321051/de


Hat jemand ne idee?

Edit: Habs gelöst, ein Routing Eintrag verweist auf eine andere ip dementsprechend muss der CN Name geändert werden.

greetz skyerjoe