Eigene Zertifizierungsstelle

[StefanWe 14]

Hi,

 

habe folgendes Problem. Ich möchte eine eigene Zertifizierungsstelle installieren und ein Zertifikat für mein OWA und für meinen TS Gateway erstellen.

 

Allerdings habe ich nur Win 2008 Standard. D.h. keine Unternehmens PKI.

Aber mir würde eigentlich eine eigenständige Stammzertifizierungsstelle reichen.

 

Habe diese dann auch installiert und mir eine Zertifikatsvorlage auf basis der Webserver Vorlage erstellt.

Allerdings wenn ich nun an meinem zweiten Win 2008 über die mmc mir ein Zertifikat anfordern möchte, sind keine Zertifikate vorhanden. Klicke ich auf alle Zertifikate anzeigen, tauchen alle auf, doch überall steht, das ich keien Berechtigung habe, mir ein cert anzufordern. Bin aber als Administrator an der Domäne angemeldet.

 

Was läuft hier falsch? Was mich allerdings wundert, in meinem schlauen buch gibt es in der mmc folgenden weiteren Punkt: Zertifikatsvorlagen.

 

Allerdings kann ich über die mmc die Zertifikatsvorlagen direkt aufrufen.

 

****erweise hat das auf meiner MCITP Schulung wunderbar funktioniert und jetzt in meiner Testumgebung nicht *gruml* :D

 

Vielleicht hat ja einer eine gloreiche idee, die mir weiterhilft.

[olc 18]

Hi,

 

füge in einer MMC testweise einmal die "Zertifikate" für den Computer anstatt für den Benutzer hinzu. Dann solltest Du auch eine "Webserver" / SSL Vorlage über "Eigene Zertifikate" / "Personal" nutzen können.

 

Falls das nicht klappt beschreibe noch einmal den Weg, den Du zur Einrichtung des Templates als auch der Ausstellung des Zertifikats gehst, etwas genauer. :)

 

Viele Grüße

olc

[StefanWe 14]

Also das mit dem COmputerkonto funktioniert auch nicht.

 

Bzgl. der Zertifikatvorlagen.

 

Unterhalbt von Rollen->AD-Zertifikatdienste->[Name meiner CA] fehlt der Ordner Zertifikatvorlagen.

 

Wie in meinem Buch beschrieben, müsste es da sein und dort müsste ich das Zertifikat dann bereitstellen.

 

Kann es daran liegen das ich nur Win 2008 Std. habe und nicht Enterprise ?

 

Was mir noch aufgefallen ist, wenn ich aus dem Webserverzertifikat eine Doppelte Vorlage erstelle um meine eigene Vorlage zu erstelle, kann ich als Mindeste CA nur Win 2003 Enterprise oder Win 2008 Enterprise wählen, das ist ja eigentlich auch nicht richtig, oder würde es mit dem Std. doch gehen?

[olc 18]

Hi,

 

eine Standard Edition Installation bringt bis Windows Server 2008 einige Vorlagen mit, nur kannst Du diese nicht großartig bearbeiten. Ab dem 2008 R2 ist das meines Wissens aufgelöst worden, d.h. auch 2008 R2 Standard CAs kennen dann V2 und V3 Templates.

 

Jedoch sind angepaßte Templates nur in CA Enterprise Installationen (also "AD integriert") nutzbar, von daher ist das in Deiner Konstellation nicht relevant.

 

Du solltest also normalerweise die vordefinierten Templates sehen können - jedoch nicht im Templates Ordner, sondern im certmgr.msc für den Computer. Du hast offensichtlich direkt auf der CA im CA SnapIn nachgeschaut, nicht auf dem Client SnapIn.

 

Viele Grüße

olc

[StefanWe 14]

Danke, ich habe es mir schon beinahe gedacht, aber die vorgefertigten Templates sollten ja auch reichen.

 

Allerdings bekomme ich auch kein vorgefertigtes Zertifikat eingereicht.

 

Ich habe meinen Win2008 der als dc läuft und auf dem die Eigenständige Stammzertifizierungsstelle läuft mit dem namen dc2008.test.de

 

dann habe ich meinen win 2008 standard der als Terminalservergateway dienen soll, für den ich nun ein Zertifikat ausstellen möchte mit dem namen tsgateway.test.de . Dieser ist Mitglied der Domäne.

 

Wenn ich nun am tsgateway auf den certmgr.msc aufrufe oder das über die mmc mache und mir den lokalen Zertifikatsspeicher des PC ansehe und dann auf Eigene Zertifikate klicke und dann mit der rechten Maustaste auf Alle Aufgaben->Neues Zertifikat einreichen klicke - tauchen in der Liste keine Zertifikate auf. Klicke ich nun auf "Alle Vorlagen anzeigen" tauchen die ganzen Zertifikatsvorlagen auf, allerdings steht überall Status: Nicht Verfügbar.

 

Wenn ich mir nun die Domänencontrollerauthentifizierung anschaue, welche ja für den TS GAteway die richige Vorlage sein. Dort steht als Text nun:

 

Die Berechtigungen auf dieser Zertifikatsvorlage lassen nicht zu, dass der aktuelle Benutzer sich für diesen Zertifikatszyp einschreibt.

Sie besitzen keine Berechtigung zum Anfordern dieses Typs von Zertifikat.

 

Bin aber als vollwerter Administrator( Das erste Admin Konto in der Domäne ) Angemeldet. Und der Zertifikatsspeicher ist auch der COmputerspeicher und nicht der Benutzerspeicher.

 

PS: Die Meldung erhalte ich sowohl auf dem tsgateway wie auch auf dem dc2008.

[olc 18]

Hi,

 

da die Zertifizierungsstelle nicht AD-integriert ist, also eine Enterprise CA, findet certmgr.msc keine Vorlagen. Versuche es einmal mit einem manuellen Request in einer Datei, den Du mit dem certmgr.msc erstellen kannst. Diesen übergibst Du dann an die CA und stellst das Zertifikat aus.

 

Alternativ kannst Du auch das Webenrollment der CA nutzen - hier müssen die Vorlagen bei korrekten Berechtigungen / ACLs definitiv angezeigt werden.

 

Ansonsten kannst Du meines Wissens die Berechtigungen der V1 Vorlagen durchaus bearbeiten - dazu mußt Du jedoch die CA selbst bemühen (in den Templates). Ich arbeite recht selten mit Standard CAs, daher weiß ich es nicht aus dem Kopf. :)

 

Viele Grüße

olc

[StefanWe 14]

Mein Gott, das Thema macht einen ja Wahnsinnig.

 

Bin nun doch wie ich denke einige Schritte weiter gekommen.

 

Habe an meinem tsgateway eine Benutzerdefinierte Anforderung erstellt.

 

Ausgestellt für: tsgateway.test.de ausgestellt von test-tsserver-CA.

Dieses Zertifikat Garantiert die Identität eines Remotecomputers. Den Privaten Schlüssel hab ich exportierbar gemacht. Dann habe ich die Anforderung auf dem CA Server eingereicht und das Cert ließ sich ohne murren ausstellen. Habe es dann in eine Datei kopiert und beim tsgateway in den internen Speicher importiert und ich konnte im gatewaymanager das neue Cert auswählen und alles sah super aus.

 

Dann habe ich das Cert bei meinem Vista Client im internen Speicher ( Im Vertrauenswürdigen Stammzertifizierungsspeicher gespeichert, da es sonst nicht geht). Aber ich erhalte beim verbinden mit dem gateway folgende Fehlermeldung:

 

Dieser Computer kann keine Verbindung mit dem Remotecomputer herstellen, da die Zertifizierungsstelle, die das Terminaldienste-Gatewayserverzertifikat ausgestellt hat, nicht gültig ist.

 

Wenn ich dann auf Zertifikat anzeigen klicke stehtdort folgendes:

Windows hat keine ausreichenden Informationen, um dieses Zertifikat verifizieren zu können.

 

 

Habe dann das Stammzertifikat der CA in meinen Speicher importiert, hat leider auch nichts gebracht. Wenn ich dieses öffne, steht dort das gleiche Problem.

 

Was kann dies noch sein? Die CA Muss ja eigentlich nicht von außen erreichbar sein, bzw. darf sie ja auch nicht.

[olc 18]

Hi,

 

wo genau hast Du das CA Zertifikat installiert? Du mußt es im Speicher der Root-Zertifikate bzw. Intermediate-Zertifikate speichern, sonst kann die Korrektheit des ausgestellten Zertifikats nicht sicher gestellt werden.

 

Also importiere noch das CA Zertifikat (bitte OHNE privaten Schlüssel) auf dem Client in die "Vertrauenswürdigen Stammzertifizierungsstellen", dann sollte es klappen. :)

 

Das Thema "PKI" ist nun einmal kein Thema, was man so "nebenbei" betreuen kann oder sollte. ;)

 

Viele Grüße

olc

[StefanWe 14]

Jou stimmt, ich hab das falsche Zertifikat und nicht das Root Zertifikat in meinen SPeicher installiert. Nun gehts einwandfrei.

 

War das ne Aktion ;) Ich bedanke mich recht herzlich für die Hilfe.

[olc 18]

Hi,

 

gerne. Freut mich, daß es nun funktioniert. :)

 

Viele Grüße

olc