Alitai 0 Geschrieben 9. Dezember 2018 Melden Teilen Geschrieben 9. Dezember 2018 (bearbeitet) Hallo Zusammen Ich richte gerade EFS ein und bin etwas erstaunt über das Verhalten. Ich habe mir ein EFS Basis Zertifikat auf dem Client ausgestellt (Privater Schlüssel exportierbar) Credential Roaming ist aktiviert und im AD sind die richtigen Einträge vorhanden. Nun wird für jeden Server auf dem ich vom Client aus per Netzwerklaufwerk etwas verschlüssle ein neues Schlüsselpaar erstellt und im AD abgelegt (Habe nun 3 Zertifikate: 1 auf dem Client, 1 für Server 1 und 1 für Server 2). 1. Frage; Ist dies normal, EFS könnte ja auch einfach mein Zertifikat vom Client nehmen welches schon vorhanden ist? 2. Frage: Falls EFS tatsächlich mehrere Zertifikate ausstellt... Wie komme ich nun an den Privaten Schlüssel der Zertifikate die direkt vom EFS im AD abgelegt werden (Die soll man ja auch sichern)? Nur werden die privaten Schlüssel nicht bei mir auf dem Client oder auf dem Server hinterlegt. Windows Server 2016 und Windows 10 1803 Hoffe jemand kann mir erklären wie das funktioniert? Freue mich auf Antworten. Vielen Dank Gruss Alitai bearbeitet 9. Dezember 2018 von Alitai Zitieren Link zu diesem Kommentar
Gipsy 13 Geschrieben 9. Dezember 2018 Melden Teilen Geschrieben 9. Dezember 2018 Hallo, sind das self signed Zertifikate oder aus der internen PKI? Standard ist self-signed. Grüße Alex Zitieren Link zu diesem Kommentar
Alitai 0 Geschrieben 9. Dezember 2018 Autor Melden Teilen Geschrieben 9. Dezember 2018 (bearbeitet) Danke für die Antwort. Die werden von der CA (Enterprise) ausgestellt. Gruss Alitai bearbeitet 9. Dezember 2018 von Alitai Zitieren Link zu diesem Kommentar
Gipsy 13 Geschrieben 9. Dezember 2018 Melden Teilen Geschrieben 9. Dezember 2018 Hallo Alitai, ich glaube das was du auf den Servern findest ist nur das entsprechende Zertifikat ohne Private Key. Das "richtigte" ist das was du auf den Client findest und dort solltest du es auch exportieren können. Kannst du es beim Client mit Private Key exportieren? Hast du im Template auch die Option "Exportable Private Key" aktiviert? Grüße Alex Zitieren Link zu diesem Kommentar
Alitai 0 Geschrieben 9. Dezember 2018 Autor Melden Teilen Geschrieben 9. Dezember 2018 (bearbeitet) Hallo Gipsy Das Zertifikat mit dem die Datei Remote verschlüsselt wurde, hat einen anderen Fingerabdruck als meines auf dem Client. Mein Zertifikat auf dem Client kann ich mit dem Privaten Schlüssel exportieren. Das Template ist dass normale "Basis-EFS" unverändert (Out of the Box). Hier habe ich einen Hinweis zum Thema gefunden: https://www.msxfaq.de/signcrypt/usercert.htm Unter: Zertifikate beim Benutzer So sieht es bei mir nämlich auch aus und auf jedem System wird ein anderes Zertifikat verwendet. Fragt sich ob dies richtig ist? Während ich hier schreibe, ist mir in den Sinn gekommen, dass es die Kompatibilitätseinstellungen des "Basis-EFS" Templates sein könnten, die Probleme machen. Was mir auch noch aufgefallen ist, ist dass die "Verschlüsslung!" nach einer gewissen Zeit nicht mehr funktioniert. Habe dazu auch einen Beitrag im Technet gefunden (Zwar für den Server 2008 aber ganz aktuell): https://social.technet.microsoft.com/Forums/en-US/878e2cb5-e5aa-46e5-9a08-6fb94211dfab/efs-on-remote-file-share-issue?forum=winserversecurity Ich werde mal das "EFS-Basis" Zertifikat ersetzen und nochmals Testen. Irgendwie ist da gerade der Wurm drin. Wir werden da aber schon noch eine Lösung finden. Danke für die Antwort Gruss Alitai bearbeitet 9. Dezember 2018 von Alitai Zitieren Link zu diesem Kommentar
Alitai 0 Geschrieben 10. Dezember 2018 Autor Melden Teilen Geschrieben 10. Dezember 2018 (bearbeitet) Hallo Dass ersetzen des "Basis-EFS" Zertifikat hat das Problem, dass nicht mehr verschlüsselt werden konnte gelöst. Zumindest ist bis jetzt keine Fehlermeldung mehr aufgetreten. Bleibt nur noch die Frage warum mir EFS trotz "Credential Roaming" mehrere Zertifikate ausstellt, obwohl doch schon ein EFS Zertifikat vorhanden ist? Ist dies bei Design so? Kann da leider auch nichts im Internet finden. Danke Gruss Alitai bearbeitet 10. Dezember 2018 von Alitai Zitieren Link zu diesem Kommentar
Beste Lösung Alitai 0 Geschrieben 2. Januar 2019 Autor Beste Lösung Melden Teilen Geschrieben 2. Januar 2019 Hallo Zusammen Ich konnte in der Zwischenzeit herausfinden woran es lag. - Ohne CR oder RUP wird immer ein neues Zertifikat erstellt. - Nur mit CR werden die Zertifikate nur aufs neue Profil übertragen, wenn man sich einloggt (Das EFS mini-Profil zieht die Zertifikate nicht aus dem AD). - RUP zieht das Zertifikat aus dem Roaming Profile (Wird bei Clustern benötigt). - Beides zusammen geht auch nicht. Noch zur Info: EFS mit Hyper-V funktioniert nicht (Egal ob auf dem Gast oder Host). Somit geht nun alles. Vielen Dank für die Hilfe. Gruss Alitai Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 2. Januar 2019 Melden Teilen Geschrieben 2. Januar 2019 Danke für die Info. :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.