Jump to content

MS RootCA/PKI web enrollment ohne Internet Explorer? Alternative?


Direkt zur Lösung Gelöst von cj_berlin,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

vor 27 Minuten schrieb zahni:

Jedenfalls können wir weiter rätseln, warum Microsoft diese recht übersichtliche Anwendung nicht mal zu neueren Anwendungen kompatibel.  Ich nutze das Teil auch öfters, wenn ich irgendwelche externen Zertifikate brauche. 

Vermutlich ist der Programmierer "unbekannt/verzogen".  Offenbar wird der IE11-Mode immer noch in den IE7-Mode "gezwungen".

Da gibt es nichts zu rätseln: Die Anwendung nutzt ein ActiveX-Control, um auf die Key Stores zuzugreifen. Soweit ich weiß (und ), erreicht man diese Systemnähe nicht mit HTML5. Man braucht also ein Browser-Plug-In, und da kommt es wieder darauf an, welcher Browser, in welchem Modus usw.

Klar, um einen fertigen CSR zu signieren und das ausgestellte Zertifikat herunterzuladen, könnte man eine abgewandelte Version anbieten, aber das Erzeugen des CSR fällt halt mit HTML5 flach...

Link zu diesem Kommentar

Moin,

 

vor 38 Minuten schrieb zahni:

Hä, die erzeugt doch den Private Key? Irgendwie stehe ich auf dem Schlauch.

das glauben viele, ist aber falsch. Es ist so, wie Norbert und Evgenij sagen.

 

Der Witz am Private Key ist, dass er privat, also geheim ist. Nicht nur in einer idealen Welt darf der nie den Rechner verlassen, auf dem er erzeugt wurde (höchstens als Backup). daher kann die CA den auch nicht erzeugen, denn dann kennte sie ihn ja und er wäre nicht privat. Die Aufgabe der CA besteht ausschließlich darin, den zugehörigen Public Key zu zertifizieren (also zu bestätigen, dass sie davon ausgeht, dass er zu der beantragenden Einheit gehört).

 

Leider gab es in der Vergangenheit CAs, die das anders gesehen und ein Schlüsselpaar für Kunden erzeugt haben. Und leider haben das auch manche "Security-Komponenten" getan, die bei Enterprise-Kunden im Einsatz sind. Das ist ganz großer Käse und geht gar nicht.

 

Aus demselben Grund sind auch Zertifikate, die auf mehreren Servern eingesetzt werden, M*st.

 

Gruß, Nils

 

Link zu diesem Kommentar

Wenn ich das richtig sehe, haben andere Firmen so etwas schon entwickelt. Natürlich nicht für eine Windows-CA.

 

https://knowledge.digicert.com/generalinformation/digicert-pki-client-browser-extension-instructions.html 

https://chrome.google.com/webstore/detail/digicert-authentication-c/ikepfmbgiedamphopfpgomnipacokgol?hl=en&gl=US

bearbeitet von zahni
Link zu diesem Kommentar
Am 24.8.2021 um 10:40 schrieb zahni:

 

Aber dann sind wir wieder bei einer managed PKI und wer will das schon. Meist nur wenn du S/Mime oder sowas noch in public verwenden willst. Jedes enrollte Zertifikat kostet halt.... im Gegensatz dazu eine eigene PKI ja auch am Ende... muss jeder selber wissen. Ich bin kein Freund davon.

 

Es hat mir ja keine Ruhe gelassen mit NTLM relay -> https://support.microsoft.com/de-de/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429

bin mal alle Einstellungen durchgegangen - bis auf negotiated kerberos waren wir schon ganz nah dran :D 

Link zu diesem Kommentar
vor 1 Stunde schrieb NilsK:

sagen wir es so: Wenn man sich eine Windows-PKI mal genauer ansieht, spricht einiges dafür, das nicht selbst an der Backe zu haben. 

Das ist jetzt vielleicht polemisch, aber gilt das nicht für den bisher erreichten technischen Stand der Büro-IT generell, und zwar durchaus herstellerübergreifend? Damit argumentiert MSFT ja, nicht ganz zu unrecht, für die (eigene) Cloud - dabei natürlich geschickt ausblendend, dass sie für den zitierten Grund ja mit verantwortlich sind ;-) 

bearbeitet von cj_berlin
  • Like 2
  • Haha 1
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...