Flobold

Genau, das haben wir auch schon gemacht, aber es wird nunmal 2 FA vorgegeben.. Aber ich schaue mir das mal an, vielen Dank!

Korrekt. Die Anmeldung erfolgt am RDWeb (https://server.domäne/RDweb). Hier erscheint dann eine Zertifikatsabfrage, bei der der User sein Zertifikat auswählen kann. Da der Webserver (=Jumpserver in dem Fall) aber den Aussteller der Userzertifikaten vertraut, lässt er dann die Verbindung zu. Ich weiß leider nicht, wie ich konfigurieren kann, dass er nur Zertifikate akzeptiert, die von CA1 ausgestellt wurden, ohne die Root-Zertifikate von CA2 nicht mehr zu vertrauen. Wenn ich aber das mache, kann die HTTPS-Verbindung zum Applikationsserver nicht mehr aufgebaut werden, da dessen Serverzertifikat ebenfalls von der CA2 ausgestellt wurde.

Okay, wenn der Jumpserver das Zertifikat der Root-CA2 vertraut kann ein Anwender bei der Anmeldung ein Zertifikat auswählen, welches sich in seinem Profil in Form eines Benutzerzertifikates zur Anmeldung an dem VPN-Tunnel befindet. Da der Jumpserver der Zertifikatskette vertraut, akzeptiert er dieses Zertifikat. Dieses Zertifikat besitzen aber sämtliche Personen im Unternehmen, und umgeht somit die 2FA. Ich hoffe, das klärt die Sache ein wenig auf.

Hallo, danke schonmal für die Antwort. Auf dem Jumpserver wird eine RDWeb-App gestartet (Ein IE, der eine HTTPS-Verbindung vom Jumpserver zum Applikationsserver aufbaut). Diese RD-App soll aber nur von Usern gestartet werden können, welche das Benutzerzertifikat von CA1 haben. Eine generelle Regelung via RDP-Rechten ist hier nicht ausreichen, da hier eine 2FA verlangt wird. Eine Smartcardauthentifizierung ist in der Domäne bisher nicht vorgesehen, und wir würden gerne daran vorbei kommen, da sonst diverse Berechtigungskonzepte und Systemdokumentationen angepasst werden müssen. -Edit- der Zusammenhang Benutzer-/Server-Zertifikat ist, dass der Jumpserver die Root-CA1 im Zertifikatsspeicher vertraut, aber der Applikationsserver ein Serverzertifikat hat, welches von der Root-CA2 ausgestellt wurde. Hier versuchen wir die Anmeldung (bzw. das starten der Remote-App) auf dem Jumpserver für die Personen zu verhindern, welche kein Zertifikat der CA1, aber eines der CA2 haben.

Hallo Zusammen, wir haben den Anwendungsfall, dass wir einen Jumpserver haben, der nur (Benutzer-)Zertifikate von CA1 trusten soll. Von dieser CA1 können wir aber leider keine Serverzertifikate bekommen. Vom Jumpserver wird eine https-Verbindung mit einem Applikationsserver aufgebaut, dessen SSL-Zertifikat von CA2 stammt. Diese CA2 stellt auch unsere Benutzerzertifikate für sämtliche User bereit. Der Zugriff auf den Jumpservern ist aber nur einem kleinen Userkreis vorbehalten, welche ein Benutzerzertifikat von CA1 auf einem Token haben. Wir stehen hier momentan vor dem Problem, dass der Jumpserver das Zertifikat von CA2 (des Applikationsservers) nicht vertraut (logischerweise). Hat hier jemand eine Idee, wie (ob) man einen einzelnen Server trusten kann, auch wenn das SSL-Zertifikat von einer nicht vertrauten CA stammt? Wie schon erwähnt ist ein Serverzertifikat von CA1 nicht möglich. CA2 darf nicht getrusted sein, da sonst sämtliche (VPN-)Zertifikate aller User akzeptiert werden. Selbstverständlich stehen wir hier hinter enormen Zeitdruch, die Umsetzung durchzuführen. Dementsprechend bin ich über sämtliche Hinweise dankbar. Gruß Florian