Nando 10 Geschrieben 12. Mai 2011 Melden Teilen Geschrieben 12. Mai 2011 Guten Morgen liebes Forum Für meine Diplomarbeit habe ich für eine Firma ein Wirelesslan mit multiple SSIDs und RADIUS Authentifizierung aufgebaut. Alle Domänenclients sollen sich über ein Computerzertifikat am WLAN authentifizieren können. Dabei wird das Computerzertifikat jeweils über die GPO mittels Autoenrollment an die Clients ausgestellt. Der RADIUS wurde mit Microsoft NPS realisiert, die Zertifizierungsstelle läuft ebenfalls auf dem selben Microsoft Domänenkontroller. Das Projekt ist funktionstüchtig und arbeitet fein, jedoch wird jedem Computer pro Tag ein neues Zertifikat ausgestellt. Ein weiterer Fehler, der möglicherweise die selbe Ursache aufweist: Wird ein Zertifikat gesperrt, beanträgt der Client ganz einfach ein neues und hat dann wieder Zugriff ins WLAN, anstatt keine Berechtigungen mehr für die Authentifizierung zu haben. Ist dies ein Problem der Zertifizierungsstelle oder rolle ich die Zertifikate falsch aus? Ich bedanke mich bereits im Voraus für die Hilfe und wäre um eine rasche Antwort sehr dankbar, da ich morgen um 16:00 die Abgnahme des Projekts habe. Im folgenden Printscreen sind die beantragten Zertifikate für die Clients erkennbar. GPO Konfiguration Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 12. Mai 2011 Melden Teilen Geschrieben 12. Mai 2011 Hi Nando, willkommen an Bo(a)rd, :) zu Frage 1: WIe lang ist denn die Zertifikatlaufzeit? Beträgt diese nur einen Tag? Was hast Du im Template festgelegt? Handelt es sich immer um dieselben Clients oder sind alle betroffen? Setzt Du ggf. die Maschine mittels Imaging / Snapshot o.ä. täglich auf einen Status X zurück? zu Frage 2: Der Screenshot der "Registrierungsrichtlinienkonfiguration" gibt Dir die Erklärung: Du hast die Option gewählt, daß abgelaufene und gesperrte Zertifikate entfernt werden. In diesem Moment "weiß" der Client nicht mehr, daß er schon ein entsprechendes Zertifikat ausgestellt hatte und wird es neu beantragen. Genau das ist auch korrekt so - denn wenn ein Client als nicht mehr vertrauenswürdig eingestuft wird (revokiation eines Zertifikats), dann wirst Du ihn im Normalfall ja auch aus der AD entfernen o.ä., wodurch er keine neuen Zertifikate mehr bekommen wird. Das Autoenrollment macht an dieser Stelle alles richtig, es ist ein Prozessthema, kein rein technisches Thema. :) P.S.: Ich gehe davon aus, daß wir über eine Testumgebung sprechen? Falls nicht, wären da so einige "nicht best practices" anzusprechen in Bezug auf die Anordnung der Dienste auf dem DC... ;) P.P.S.: Wenn die Abnahme Morgen um 16:00 Uhr ist, dann bist Du sehr spät dran mit der Fertigstellung der Arbeit. Denke daran, daß wir das hier alle in unserer Freizeit machen - wenn Du ein SLA benötigst, solltest Du einen Dienstleister bezahlen. ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
Nando 10 Geschrieben 12. Mai 2011 Autor Melden Teilen Geschrieben 12. Mai 2011 Danke für deine Auskunft reiche Hilfe olc Die Clients sind alle betroffen und werden nicht über einen Snapshot zurückgesetzt. Die Gültigkeitsdauer beträgt ein Jahr, im Computerzertifikattemplate. Dieser Wert ist grau hinterlegt und kann nicht geändert werden. Ist dies normal oder verwende ich das falsche Zertifikatstemplate? Den Haken habe ich jetzt entfernt und warte nun mal bis morgen erste Resultate ab. Nein bei der Serverumgebung handelt es sich um eine produktive Firmenumgebung. Was kann ich bei der Dienstaufteilung verbessern? Ist es nicht empfehlenswert, den Domänenkontroller und die Zertifizierungsstelle auf dem selben Server zu installieren? Mir ist durchaus bewusst, dass die Hilfestellung auf freiwilliger Basis beruht. Mit dem Termin wollte ich keinen Zeitdruck machen, sondern erwähnen, dass ich um jeden Input dankbar bin. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 12. Mai 2011 Melden Teilen Geschrieben 12. Mai 2011 Hi Nando, Dieser Wert ist grau hinterlegt und kann nicht geändert werden. Ist dies normal oder verwende ich das falsche Zertifikatstemplate? Sofern Du eine "Enterprise" CA installiert hast (also nennen wir es einmal "AD integriert" - davon gehe ich aus, sonst wäre kein Autoenrollment möglich), mußt Du die Vorlage "duplizieren", damit Du die Werte verändern kannst. Siehe dazu auch: Designing and Implementing a PKI: Part III Certificate Templates - Ask the Directory Services Team - Site Home - TechNet Blogs Da es sich um einen Windows Server 2008 R2 handelt, muß die SKU (also die OS Version) nicht mehr "Enterprise" sein, das war nur bis 2008 der Fall, um Templates duplizieren zu können. Den Haken habe ich jetzt entfernt und warte nun mal bis morgen erste Resultate ab. Na ja, der Weisheit letzter Schluß ist das auch nicht - im Normalfall *möchtest* Du ja, daß die Zertifikate auch nach Ablauf o.ä. erneuert werden. Wie gesagt, das ganze ist ein Prozessthema: Wie gehst Du / der Kunde mit zurückgerufenen Zertifikaten bzw. deren Maschinen um? Da liegt die Frage, nicht in der Ausstellung neuer Zertifikate. Nein bei der Serverumgebung handelt es sich um eine produktive Firmenumgebung. Autsch, daran sollte man nicht "herumtesten". :) Was kann ich bei der Dienstaufteilung verbessern? Ist es nicht empfehlenswert, den Domänenkontroller und die Zertifizierungsstelle auf dem selben Server zu installieren? Genau, ein Dienst pro Server. Die CA auf einem DC zu installieren hat neben generellen SIcherheitserwägungen, Rollentrennung usw. auch darum keinen Sinn, weil es Probleme macht, sobald Du z.B. den DC demoten mußt, die CA jedoch weiterlaufen soll. Das ist so einfach nämlich nicht möglich und schränkt Deine Troubleshooting Vatianten deutlich ein. Es gibt noch 1.000 andere Gründe dafür, das anders zu lösen. Die Punkte oben sind nur kurz angerissen. Mir ist durchaus bewusst, dass die Hilfestellung auf freiwilliger Basis beruht. Mit dem Termin wollte ich keinen Zeitdruck machen, sondern erwähnen, dass ich um jeden Input dankbar bin. Ok. :) Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.