Haennerson 10 Geschrieben 17. April 2012 Melden Teilen Geschrieben 17. April 2012 Hallo zusammen Sind hier auch NDES/SCEP Spezis unterwegs? Suche nach einigen Antworten :D Ich kann in meiner Lab Umgebung nun über den NDES User Certs verteilen, leider noch ohne private Key? Ich stelle mir nun die Frage, ober NDES überhaupt User Certs mit private Keys erstellen kann, finde bei MS auch generell sehr wenige Infos zu diesem Thema... Grüsse Simon Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 17. April 2012 Melden Teilen Geschrieben 17. April 2012 Hi, der private Schlüssel wird durch das Gerät erstellt, auf dem Du die Anfrage absetzt. Ohne den genauen Testaufbau und Dein Vorgehen beim Erstellen eines Zertifikats zu kennen, kann man schwer helfen. Download: Microsoft SCEP Implementation Whitepaper. - Microsoft Download Center - Download Details Viele Grüße olc Zitieren Link zu diesem Kommentar
Haennerson 10 Geschrieben 17. April 2012 Autor Melden Teilen Geschrieben 17. April 2012 Hi Danke für dein Feedback, habe aktuell in meiner Demo Umgebung lediglich eine Root-CA mit entsprechender NDES Komponente. Die NDES Umgebung habe ich so konfiguriert, dass User Certs ausgestellt werden (über Registry). Ich habe nun mein Mobilephone, mit welchem ich eine SCEP Anfrage starte (CN=Username), es wird auch ein User Zertifikat ausgestellt. Das Whitepaper habe ich soweit auch verfolgt, allerdings ist es mir einfach unklar was genau auf dem Device passiert. Im Whitepaper wird immer vom IPSec Offline Cert gesprochen, aber das wird ja wohl für VPN verwendet. Ich muss mich mit einem User Cert inkl. Private Key an einem Proxy authentifizieren können. Hast du mir 1,2 Tipps zum Thema? Grüsse Simon Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 17. April 2012 Melden Teilen Geschrieben 17. April 2012 Hi, Du kannst das jeweils verwendete Template anpassen, siehe dazu AD CS: Network Device Enrollment Service SigningTemplateIf this key is set, NDES uses this value as the certificate template name when clients enroll for a signing certificate. EncryptionTemplate If this key is set, NDES uses this value as the certificate template name when clients enroll for an encryption certificate. SigningAndEncryptionTemplate If this key is set, NDES uses the value as the certificate template name when clients enroll for a signing and encryption certificate, or when the request does not include any enhanced key usage. Note When you modify any of these settings, you must stop and restart IIS in order for them to go into effect. Viele Grüße olc Zitieren Link zu diesem Kommentar
Haennerson 10 Geschrieben 17. April 2012 Autor Melden Teilen Geschrieben 17. April 2012 Hi Ja das habe ich ja über die Registry gemacht, und gemäss NDES Server werden auch User Certs ausgestellt. Du bist also der Meinung, wenn NDES Server User Certs ausstellt, dann sind diese auf dem Mobiledevice inkl. Private Key? Leider kann ich das nicht wirklich überprüfen... Oder sehe ich das irgendwo auf dem NDES? Gruss Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 17. April 2012 Melden Teilen Geschrieben 17. April 2012 Hi, ja, der private Schlüssel wird in diesem Fall wie angesprochen auf dem Gerät erstellt. Der NDES Server vermittelt im Kern nur den Request an die entsprechende CA und diese stellt auf Basis des Requests ein Zertifikat aus. In dieser konkreten Konstellation verläßt der private Schlüssel das mobile Gerät nicht. Wenn Du das Vorhaben in größerem Maßstab durchführen möchtest und nicht nur auf einem mobilen Gerät, kommst Du im Moment an Managementsoftware von Drittherstellern (egal ob für iOS, Andoid oder Windows Phone) nicht vorbei - die Standardmethoden der Telefone zur zentralen Schlüsselverwaltung sind nur sehr rudimentär oder aber schlichtweg nicht vorhanden. Von welchem OS reden wir denn auf dem mobilen Gerät? Viele Grüße olc Zitieren Link zu diesem Kommentar
Haennerson 10 Geschrieben 17. April 2012 Autor Melden Teilen Geschrieben 17. April 2012 Hi Ja die entsprechende Managementsoftware ist vorhanden, aber diese setzt lediglich auf die Konfigurationsmöglichkeiten des iOS (somit wäre auch das Device klar, Apple ;-)). iOS setzt ein SCEP Request ab und wir sind uns einfach nicht sicher wegen dem Private Key, aber das hört sich ja jetzt gut an, werden uns also auf den Test gegen den Proxy (EAS) konzentrieren um hier unser Cert validieren zu können. Oder hast du noch Einwände? :-) Grüsse Simon Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 18. April 2012 Melden Teilen Geschrieben 18. April 2012 Hi, ich kenne mich mit iOS nicht aus, aber es gibt ganz sicher auch einen lokalen "Zertifikatmanager". Schau dort einmal hinein. "Einwände" habe ich keine, zumindest aufgrund der bekannten Informationen. ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.