Fragen zu Certificate Services

[Pred2k3 10]

Moin,

 

habe mir mal nen AD + AD Certificate Services hochgezogen und habe dazu folgende Fragen:

 

1. Ist es möglich auch private Schlüssel automatisch zu enrollen, so dass der Benutzer von jedem Rechner aus beispielsweise E-Mail signieren kann? Standardmäßig steht ja nur der Public Key im ActiveDirectry.

 

2. Wenn ich von einem Rechner aus ein Zertifikat anfordere, was zunächst durch die CA bestätigt werden muss, muss ich es anschließend händisch importieren, gibt es da eine Möglichkeit, dass der Rechner sich das Zertifikat automatisch holt, wenn genehmigt?

 

3. Und zuguter letzt: Ich kann unter Windows XP keine Zertifikate über die Managment Konsole anfordern:

 

Der Assistent kann aus einem der folgenden Gründe nicht gestartet werden:

-Es sind keine vertrauenswürdigen Zertifizierungsstellen verfügbar.

-Sie verfügen nicht über die Berechtigung Zertifikate von den verfügbaren Zertifizierungsstellen anzufordern.

-Die verfügbaren Zertifizierungsstellen stellen zertifikate aus, für die Sie keine Berechtigungen haben.

 

Unter Windows Vista und 7 gehts problemlos.

 

Gruß

 

Pred2k3

[olc 18]

Hi,

 

solche Fragen stellte man im Normalfall, bevor man die PKI "hochzieht". ;)

Oder handelt es sich hier um eine Testumgebung?

 

zu 1) Ja, entweder per "Roaming Profiles" oder mittels "Credential Roaming". Beides sollte gut geplant und nicht "nebenbei" eingeführt werden.

 

zu 2) Wenn Autoenrollment auf den Clients aktiviert ist (für gibt es Benutzer- als auch Computergruppenrichtlinien), dann passiert das automatisch.

 

zu 3) Handelt es sich bei den Templates um Vorlagen, die Du mit der Option "Windows Server 2008" Templates versehen hast (beim Kopieren / Erstellen)? Falls ja, dann sind dieser nur ab Vista + höher verfügbar und XP kann diese Templates nicht ausrollen.

Oder es fehlen schlichtweg die Berechtigungen auf das Template für XP Clients / Administratoren.

 

Viele Grüße

olc

[Pred2k3 10]

Danke erstmal für die schnelle Antwort.

 

zu 2: Da war ich wohl zu ungeduldig :). Müssen die Zertifikate im AD veröffentlicht werden, damit sie automatisch "geholt" werden, wenn genehmigt?

 

zu 3: Nein sind Standard 2000/2003 Vorlagen. Vielleicht hast du mich falsch verstanden: Es geht bei dieser Frage nicht um Autoenrollment, ich will einfach nur die mmc eine Zertifikatanforderung erstellen (Rechtsklick auf "Eigene Zertifikate" -> "Alle Aufgaben" - > "Neues Zertifikat anfordern"

[olc 18]

Hi,

 

zu 2) Nein, sie müssen nicht im AD veröffentlicht sein. Der Client hat eine ausstehende ("pending") Zertifikatanfrage, daher schaut er während des Autoenrollments nach, ob es "Neuigkeiten" gibt. Dazu muß aber wie gesagt das Autoenrollment aktiviert sein (bestenfalls mit beiden Haken in den GPO Optionen "update pending..." etc.).

 

zu 3) Ich habe Dich schon richtig verstanden. ;) Vielleicht läuft Kerberos auf den XP Clients nicht richtig, vielleicht gibt es Unterschiede in den Sicherheitseinstellungen der Templates etc. Ein schneller Test kann sein zu prüfen, ob Du Benutzerzertifikate ausrollen kannst und nur die Maschinentemplates nicht. Das grenzt einen solchen Fehler schon mal ein.

Ist mit den aktuellen Informationen schwer zu sagen, was nicht paßt - check erst einmal die Unterschiede zum Vista / W7 Client und dann kann man weiter schauen. :)

 

Viele Grüße

olc

[Pred2k3 10]

zu 2 nochmal ne kurze Nachfrage:

Muss autoenrollment in der Zertifikatsvorlage aktiviert sein, damit der Client sich den Status prüft?

Mein Plan ist der folgende: Ich möchte ein Zertifikat, das zuerst genehmigt werden muss, manuell anfordern, aber nach Genehmigung automatisch "deployen".

Das Zertifikat soll nicht automatisch angefordert werden.

 

zu3: Die Windows XP Maschine befindet sich in keiner Domäne (und auch wenn sie in der Domäne ist, kein Unterschied). Ich möchte einfach nur ein CSR erstellen, was mit Vista und W7 problemlos geht.

 

Gruß

pred2k3

[olc 18]

Hi,

 

zu 2) Das Autoenrollment muß nicht auf dem Template aktiv sein, sondern per Gruppenrichtlinie aktiviert sein. Hatte ich oben schon geschrieben. ;)

 

zu 3) Wenn der Client nicht in der Domäne ist, kann kein Kerberos verwendet werden. Von daher solltest Du ggf. das Webenrollment verwenden anstatt die MMC.

Ich vermute W7 nutzt die AD CS HTTPS Gateway Zugriffe, jedoch ist das nur eine Vermutung, weil Deine Umgebung unbekannt ist.

 

Viele Grüße

olc

[Pred2k3 10]

Folgendes ist mir bei den Gruppenrichtlinien hinsichtlich Autoenrollment noch nicht ganz klar:

 

(ist zwar ne alte Version, aber hab keinen besseren screenshot gefunden)

 

"Zertifikate aktualisieren, die Zertifikatvorlagen verwenden"

 

Wie ist das zu verstehen und wo liegt der Unterschied zum oberen Punkt?

 

 

Dann ist mir noch was aufgefallen bei der Anforderung von Webserver Zertifikaten. Wenn ich Ort, Organisation, Organisationseinheit etc. im CSR habe, bekomme ich folgenden Fehler:

 

Die Anforderung 11 konnte aufgrund eines Fehlers nicht ausgeführt werden: Der angeforderte Antragstellername ist ungültig oder zu lang. 0x80094001 (-2146877439). Die Anforderung bezog sich auf CN=www.wiesbaden.de, C=Deutschland, L=Ulm, OU=Webserver, O=TEST. Weitere Informationen: Fehler bei der Analyse der Anforderung

 

Wenn ich paar Werte weglasse, dann klappt es, aber dann stell ich mir die Frage, wie ich ein Zertifikat mit den oben genannte Daten ausstelle, die Länge ist doch nichts besondres..

[olc 18]

Hi,

 

am besten nicht alle Probleme in einen Thread packen, das wird zu unübersichtlich.

 

Ich sehe den Screenshot nicht, aber zu den GPO Einstellungen gibt es diverse Technet Seiten, die das erklären. ;)

Kurzform: AFAIR mußt Du, wenn Du Zertifikattemplates neu ausrollen möchtest (Reenroll al certificate holders), diese Option setzen.

 

Viele Grüße

olc