StephanG. 10 Geschrieben 22. April 2009 Melden Teilen Geschrieben 22. April 2009 Hallo zusammen, wir haben gerade ein Problem mit dem active roll out von Computer-Zertifikaten auf XP-Clients, welche zum anmelden über 802.1x an unser WLAN genutzt werden sollen. Ziel ist es, das neue Endgeräte über LAN in die Domain geholt werden und dann automatisch Zertifkate bekommen. Danach sollen die Endgeräte sich beim Hochfahren automatisch mit dem WLAN verbinden können und ein anmelden an die Domain ermöglichen. Wir nutzen für unsere Server Windows 2003 und haben dort eine Zertifizierungsstelle eingerichtet, die unseren XP-Clients automatisch Zertifikate installiert sobald sie das erste mal in die Domain geholt werden. Das Zertifikateverteilen läut gut, doch scheinbar landen die Zertifikate im falschen Zertifikatspeicher des Clients. Wenn wir uns auf unseren Testlaptops local als Adminstrator anmelden und die installierte Intelsoftware für den WLAN-Chip nutzen, dann können wir uns mit den verteilten Zertifikaten problemlos am WLAN anmelden. Wenn wir jedoch die Intelsoftware austellen und die mitgelieferte XP-Software nehmen, dann wird gemeckert das er keine Zertifikate hat, um sich am WLAN anzumelden. Ich denke, dass die Intelsoftware alle Zertifikatspeicher durchsucht und die Windows-Software nur bestimmte. Jetzt haben wir zwei Möglichkeiten. Entweder wir können beim Rollout angeben in welche Zertifikatespeicher das Computerzertifikat zur automatischen Anmeldung und das Zertifikat der CA installiert werden, oder wir bringen der XP-Software bei auch in anderen Zertifikatespeichern zu suchen. Meine Fragen dazu: Wir haben das Zertifikat des Clients von der Vorlage Computer abgeleitet. Wird über die Zertifikatvorlage bestimmt in welchem Speicher das Zertifikat beim roll out abgelegt wird und können wir das irgendwie beeinflussen? Gibt es eine Möglichkeit, z.B über die Registry, dem XP-WLAN-Client zu erzählen das er auch in anderen Zertifikatespeichern suchen soll? Wenn noch andere Informationen benötigt werden um unser Problem zu verdeutlichen, dann liefere ich die gerne nach. Danke im voraus. Stephan PS: Es ist keine Lösung die Intelsoftware zu nutzen, da diese im Produktivbetrieb nicht jedem Endgerät zur Verfügung steht. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 22. April 2009 Melden Teilen Geschrieben 22. April 2009 Hi Stephan und herzlich willkommen, :) meines Wissens gibt es keine Möglichkeit, den "Ziel-Zertifikatspeicher" beim Autoenrollment zu ändern. Es sei denn, Ihr scheibt Euch ein eigenes Exit Modul, damit könnte es nach meinem Verständnis möglich sein. Aber da mag ich mich irren. In welchem Zertifikatspeicher erwartet der XP WLAN Client denn die Computerzertifikate? Wenn Ihr diese manuell dorthin kopiert / verschiebt, funktioniert die Authentifizierung mittels Zertifikat und Windows-eigener Software korrekt? Viele Grüße olc Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 23. April 2009 Melden Teilen Geschrieben 23. April 2009 Hast Du die Autoregistrierung sauber per Richtlinie konfiguriert, wie hier Einrichtungshandbuch - Sichern von Wireless LANs mit Zertifikatsdiensten unter 'So aktivieren Sie die Autoregistrierung für alle Benutzer und Computer in der Domäne' beschrieben? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.