Zertifikate verteilen per GPO

[Lord Chaos 10]

Hy Comunity,

 

habe mal wieder ein Prob. und verzweifle etwas.

 

Ich möchte Zertifikate per GPO verteilen, es Handelt sich um ein Stammzertifikat und einer Zwischenzertifizierungsstelle, Das Stammzertifikat funtioniert einwandfrei habe es unter:

 

Computerkonfiguration

- Windows-Einstellungen

-- Sicherheitseinstellungen

--- Vertrauenswürdige Stammzertifizierungsstelle

 

Importiert und verteilt sich auch wunderbar. Nun zu meinem eigentlichen Prob. Das andere Zertifikat (Zwischenzertifizierungsstelle) soll ich unter:

 

Benutzerkonfiguration

- Windows-Einstellungen

-- Internet Explorer-Wartung

--- Sicherheit

---- Authenticode-Einstellungen

 

importieren (nachgelesen in anderen Foren) aber dort kann ich nichts direkt importieren!?! Habe es auf dem Server im IE Installiert also dort wird es angezeigt aber in der GPO sehe ich ja nicht was Installiert ist:suspect:.

 

Also Stamm wird verteilt aber das Zwischenzertifikat nicht... hoffe ihr habt eine Idee!!!

 

Danke schonmal

[olc 18]

Hi Lord,

 

warum soll das Zertifikat der Zwischenzertifizierungsstelle im Benutzerstore importiert werden? Gibt es dafür einen konkreten (unter Umständen applikationsspezifischen) Hintergrund?

 

Da Benutzer auf die Root bzw. Intermediate Zertifikate im Computerstore zugreifen können (müssen), sollte es doch eigentlich kein Problem sein, das Zertifikat der Intermediate CA auch in den Computerstore zu importieren.

 

Viele Grüße

olc

[Lord Chaos 10]

ja ist leider Citrix bedingt das es importiert werden muss.

 

Da Benutzer auf die Root bzw. Intermediate Zertifikate im Computerstore zugreifen können (müssen), sollte es doch eigentlich kein Problem sein, das Zertifikat der Intermediate CA auch in den Computerstore zu importieren.

 

Ja lokal ist das natürlich kein prob, aber serververteilt muss ich es dem user übermitteln und genau das funzt bzw check ich nicht. :confused:

[olc 18]

Hi,

 

Du könntest versuchen, die Zertifikate über die User Configuration --> Windows Settings --> Internet Explorer Maintenance --> Security --> Authenticode Settings hineinzubekommen. Empfehlenswert ist es dabei, daß Du dafür eine eigene Policy benutzt.

 

Viele Grüße

olc

[Lord Chaos 10]

Hi,

 

Du könntest versuchen, die Zertifikate über die User Configuration --> Windows Settings --> Internet Explorer Maintenance --> Security --> Authenticode Settings hineinzubekommen. Empfehlenswert ist es dabei, daß Du dafür eine eigene Policy benutzt.

 

Viele Grüße

olc

Benutzerkonfiguration

- Windows-Einstellungen

-- Internet Explorer-Wartung

--- Sicherheit

---- Authenticode-Einstellungen

 

importieren (nachgelesen in anderen Foren) aber dort kann ich nichts direkt importieren!?! Habe es auf dem Server im IE Installiert also dort wird es angezeigt aber in der GPO sehe ich ja nicht was Installiert ist.

 

Das ist ja das Problem -.- wie bekomme ich das Zertifikat dort (rein). !?!

[olc 18]

Hi Lord,

 

entschuldige, ich hatte mir den ersten Post nicht mehr angeschaut, daher der Hinweis, den Du aber schon probiert hattest. :o

 

Habe mir die Sache gerade noch einmal angeschaut - da Du mittels der Authenticode Einstellung die Intermediate CA Zertifikate nicht verteilen kannst, bleibt wahrscheinlich nur ein Logon-Script für die Benutzer, bei dem Du etwa über "certutil.exe -addstore" das gewünschte Zertifikat importierst.

 

Aber trotz der Rückmeldung von Dir oben: Meiner Meinung nach muß es auch funktionieren, wenn das Zertifikat im Computerstore liegt. Darauf haben die Benutzer standardmäßg Leserechte und die entsprechenden APIs schauen auch dort nach. Wenn das nicht der Fall ist sind wahrscheinlich

a) entweder die Dateisystemberechtigungen auf dem Computerstore unterhalb von "All Users\Application Data\Microsoft\Crypto\..." nicht korrekt oder

b) der Cirtix Client ist "schlecht programmiert".

 

In jedem Fall würde ich eher in dieser Richtung suchen anstatt das Zertifikat unbedingt in den Benutzerstore zu bekommen.

 

Viele Grüße

olc

[Lord Chaos 10]

Ja per skript habe ich es in mom.

 

Hmm scheint einfach ein Fluch zu sein ;-)

 

Danke für die hilfe OLC

[grizzly999 11]

meines bescheidenen Wissens nach, gibt es keine zwei "Trust-Stores" auf dem Computer für benutzer und Computer getrennt, auch das durch die separat möglichen MMCs den Anschein haben mag.

Daher sollte eine Verteilung von IntermidiateCA-Certs über die Computerrichtline dann auch funktionieren.

Hast du das schon versucht?

 

grizzly999

[olc 18]

Hi,

 

die Benutzer haben schon eigene Root CA / Intermediate CA Stores - nur werden diese nicht immer genutzt. Der Computer Root CA / Intermediate CA Store wird für die Benutzer standardmäßig immer "gemappt", jedoch können Benutzer auch eigene Zertifikate über GPOs oder die Registry speichern, ohne daß diese dann auch dem Computer und damit anderen Benutzern zur Verfügung stehen.

 

Die eigenen Benutzer-Stores im Zusammenhang mit den transparent "gemappten" Zertifikaten des Computer Stores kann man sehr gut sehen, wenn man sich über die Optionen des certmgr.msc die "Phyikalischen Zertifikatspeicher" anzeigen läßt. Dann sieht man, woher die Zertifikate kommen (und daß auch für die Root CAs eigene Benutzerzertifikate möglich sind).

 

Der TO hatte oben geschrieben, daß er den Import in den Computerstore schon getestet hatte - daher mein Hinweis, daß entweder mit den Rechten etwas nicht stimmt oder die Applikation nicht sonderlich gut programmiert ist (just my 2 Cents)... :)

 

Viele Grüße

olc