Jump to content

Computerzertifikate über Webdienste beziehen

Meier84

Von Meier84
in Windows Forum — Security

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Meier84 Explorer

Meier84   10

Geschrieben
Geschrieben

Hallo,

 

ich habe folgende Situation. Ich habe zur Zeit unter Windows 2003 802.1X mit EAP-TLS im WLAN laufen,

wo sich die Computer vorher ihr Computerzertifikat (Standardvorlage) durch Automatische

Registrierung mit Hilfe einer Gruppenrichtlinie des Active Directory´s kabelgebunden ziehen müssen.

Mit Windows-Geräten ist es auch kein Problem, denn die kann man ja mal schnell in die Domäne nehmen,

um das Zertifikat zu bekommen.

 

Nun zum Problem:

 

Ich kriege es nicht hin Computerzertifikate über die Weboberfläche des Zertifikatsservers für einen

Computer zu erstellen, nicht mal mit Windows-Geräten. Ich kann zwar eine Vorlage auf Basis des

Computerzertifikats erstellen, aber wenn ich dieses dann anfordere sieht es folgendermaßen aus:

 

http://s1.directupload.net/file/d/2641/7pl8dgqw_png.htm

 

Trage ich dann unter "Identifikationsinformationen für Offlinevorlage" Informationen ein und installiere

das "Computerzertifikat" bekomme ich dieses Zertifikat unter "Aktueller Benutzer" installiert und nicht wie

gewollt unter "Lokaler Computer". Außerdem verhält sich dieses Zertifikat dann auch wie ein Benutzerzertifikat

und ich kann es einfach nicht zur 802.1X-Authentifizierung verwenden ohne vorher einen !Benutzer! zu erstellen

mit dem identischen Name den ich unter "Identifikationsinformationen für Offlinevorlage" eingegeben habe und

für diesen die Zugang zu gestatten.

 

Wie kann ich also manuell ein Computerzertifikat für ein Gerät erstellen? Und wie mache ich das z.B. mit

Smartphones? Ich weiss, dass man die Zertifikate importieren und exportieren kann, aber diese Zertifikate

sind ja immer nur auf einen Benutzer/Computer ausgestellt. Wenn ich dann ein Zertifikat auf mehrere

Smartphones exportieren melden sich ja zig Smartphones mit dem gleichen Namen an??? Und ja ich weiss,

es gibt auch die Möglichkeit das mit OpenSource umzusetzen, aber das ist in dieser Umgebung nicht möglich.

Link zu diesem Kommentar
jkarl

jkarl   10

Geschrieben
Geschrieben
Wenn ich dann ein Zertifikat auf mehrere Smartphones exportieren melden sich ja zig Smartphones mit dem gleichen Namen an???

 

Hallo,

 

das Zertifikat ist ja dafür da um jemanden genau zu identifitzieren. Daher ist es nicht vom Vorteil ein Zertifikat auf mehreren Smartphones einzusetzen. Es muss je User ein eigenes sein. Du möchtest ja auch nicht das sich https://www.paypal.com bei dir durch ein Zertifikat als https://www.ebay.de ausgibt. ;)

 

Das ist der Grund warum viele PEAP - EAP-MSCHAP v2 verwenden. Da muss sich der Benutzer direkt mit seinem Namen und Passwort (Domäne) anmelden.

 

Hoffe das hilft ein klein wenig weiter bei deinen Gedanken.

 

MfG Johannes

 

P.S. ich lass mich immer gern eines besseren belehren, wenn ich Mist erzählt habe :wink2:

Link zu diesem Kommentar
Meier84 Explorer

Meier84   10

Geschrieben
  • Autor
Geschrieben

Hallo,

 

ja genau, dass meinte ich ja. Ich möchte wirklich für jedes Gerät ein eigenes Zertifikat, so dass ich in der Verwaltung auch kontrollieren kann, wann sich wer angemeldet hat.

 

Das ist der Grund warum viele PEAP - EAP-MSCHAP v2 verwenden. Da muss sich der Benutzer direkt mit seinem Namen und Passwort (Domäne) anmelden.

 

Und genau das soll nicht passieren. Es sollen Geräte authentifiziert werden und keiner Benutze. Das Gerät soll sich also ohne handeln eines Benutzer mit Aufnahme der Verbindung authentifizieren. So habe ich es bisher, nur dass das Ganze nur bei Domänenmitgliedern funktioniert. Was ist aber mit Geräten, die ich nicht in die Domäne kriege (Smartphones zb)? Und da kommt das Webinterface ins Spiel. Nur kriege ich es eben nicht hin, funktionsfähige Computerzertifikate übers Webinterface zu beziehen:(

Link zu diesem Kommentar
jkarl

jkarl   10

Geschrieben
Geschrieben
Und genau das soll nicht passieren. Es sollen Geräte authentifiziert werden und keiner Benutze. Das Gerät soll sich also ohne handeln eines Benutzer mit Aufnahme der Verbindung authentifizieren. So habe ich es bisher, nur dass das Ganze nur bei Domänenmitgliedern funktioniert. Was ist aber mit Geräten, die ich nicht in die Domäne kriege (Smartphones zb)? Und da kommt das Webinterface ins Spiel. Nur kriege ich es eben nicht hin, funktionsfähige Computerzertifikate übers Webinterface zu beziehen:(

 

Ich habe gestern noch in einem MSPress Buch über Zertifikate gelsen, das ausschließlich Domänen PCs via Copmuter Zertifikate authentifiziert werden können. Ein nicht Domänen Gerät (Smartphone) hingegen kann sich nicht als ein Domänen PC ausgeben. Hierfür muss dann ein Userzertifikat genutzt werden.

 

Zwar nicht was du hören wolltest, aber das sollte die Erklärung sein.

 

MfG Johannes

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...