kaineanung 14 Geschrieben 2. Juni 2022 Melden Teilen Geschrieben 2. Juni 2022 Hallo Leute, ich lerne mich gerade in das Thema 'PKI', RootCA und IntermediateCA ein. Wir wollen eine eigene Domänen-integrierte CA betreiben um Geräte-Zertifikate für die 2-Faktor-Authentifizierung zu erstellen und nebenbei auch noch alle unsere https-Webinterfaces vertrauenswürdig zu machen. In meiner Testumgebung habe ich ein IIS (eigentlich ein RDS mit IIS), eine PKI (RootCA standalone, SubCA als AD-betriebene CA), natürlich ein DC und ein Windows 10 Client mit IE, Edge, FF und Chrome. Domänenweit wird in dem Zertifikatsspeicher 'vertrauenswürdige Stammzertifizierungsstellen' mein RootCA und in 'Zwischenzertifizierungsstellen' mein SubCA aufgelistet. Die Verteilung in der Domäne funktioniert also wie es soll. Ich habe ein Zertifikat für meinen IIS erfolgreich erstellt und diesen auch erfolgreich gebunden. Mein erster Test mit dem IE vom Client hat wunderbar funktioniert. Dann habe ich ein Test mit dem FF gemacht und es hat nicht funktioniert. Nach kurzer recherche ist mir wieder eingefallen das FF ja mit seinem eigenen Zertifikatsspeicher daherkommt und auch gleich eine Lösung gefunden: per GPO (Mozilla/Firefox-Template) kann man FF anweisen den Windowseigenen Zertifikatespeicher additional mitzubenutzen. Der nächste Test war dann auch erfolgreich. So weit so gut. Jetzt ist der Edge dran mit testen und komischerweise funktioniert es mit diesem nicht? Ich hätte gedacht das Microsoft EDGE natürlich den Windows-Zertifikatsspeicher mitbenutzt. Nach kurzer (oberflächlicher) Recherche habe ich irgendwo aufgegriffen daß der EDGE nun im Kern den Chromekern verwendet. Chrome kommt angeblich auch mit seinem eigenen Zertifikatsspeicher daher (nutze kein Chrome und kenne mich mit diesem überhaupt nicht aus). So, meine Fragen sind wie folgt: 1. Stimmt das das Edge den gleichen Kern wie Chrome nutzt? 2. Nutzt Edge einen eigenen Zertifikatsspeicher und nicht automatisch den Windows-eigenen Zertifikatsspeicher? 3. Kann ich Edge dazu überreden den Windows-eigenen Zertifikatsspeicher zu nutzen und wenn ja vorzugsweise per GPO? Wenn ja, kann mir vielleicht jemand sagen wie und wo oder auch eine Anleitung nennen? Ich bedanke mich schon einmal für eure Mühe (und wenn es nur das Lesen bis hierher ist). Zitieren Link zu diesem Kommentar
Squire 265 Geschrieben 2. Juni 2022 Melden Teilen Geschrieben 2. Juni 2022 nö ... Chrome und Edge nützen den Windows Zertifikatsspeicher. Anders bei Firefox, dem muss man das erst in der Konfig beibringen! Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 2. Juni 2022 Melden Teilen Geschrieben 2. Juni 2022 Für Chome und Edge müssen SAN-Attribute (DNS) gesetzt werden: https://www.heise.de/security/artikel/Chrome-blockt-Zertifikate-mit-Common-Name-3717594.html Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 2. Juni 2022 Melden Teilen Geschrieben 2. Juni 2022 vor 8 Minuten schrieb zahni: Für Chome und Edge müssen SAN-Attribute (DNS) gesetzt werden: ...das betrifft aber die Webserver, nicht die Trusted Roots und User Certs, die für den Certstore im Browser relevant sind. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 2. Juni 2022 Melden Teilen Geschrieben 2. Juni 2022 vor 11 Minuten schrieb cj_berlin: ...das betrifft aber die Webserver, nicht die Trusted Roots und User Certs, die für den Certstore im Browser relevant sind. Er will aber was im Browser aufrufen... Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 2. Juni 2022 Melden Teilen Geschrieben 2. Juni 2022 Das ist richtig, aber das Zertifikat, wo was im SAN stehen muss, ist ja nicht in seinem lokalen Store gespeichert, sondern auf dem Webserver. Im lokalen Store steht nur die CA-Kette bis zu diesem Zertifikat und evtl. ein User-Zertifikat, falls die Webseite zertifikatsbasierte Authentifizierung verlangt. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 2. Juni 2022 Melden Teilen Geschrieben 2. Juni 2022 Moin, ich glaube, ihr redet aneinander vorbei. Zahnis Aussage bezog sich auf eine weitere Hürde, die für TLS-Zertifikate zu beachten ist. Diese muss man in der Zertifikatsvorlage bzw. beim Ausstellen des Zertifikats nehmen. Tut man das nicht, dann akzeptieren die Browser das Zertifikat auch dann nicht, wenn die Vertrauenskette an sich geschlossen ist. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 2. Juni 2022 Melden Teilen Geschrieben 2. Juni 2022 (bearbeitet) Ja, ich habe mich wohl eher am Thema bzw. an den Fragen des TO als am Inhalt des Threads orientiert bearbeitet 2. Juni 2022 von cj_berlin Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 2. Juni 2022 Autor Melden Teilen Geschrieben 2. Juni 2022 Ja, mein Fehler das ich gleich 2 Themen in ein Thema hier rein gepackt hatte. Ich habe in meiner Testumgebung eine PKI erstellt weil ich den primären Auftrag habe Gerätezertifikate im Unternehmen einzuführen zwecks 2-Faktor-Authentifizierung. Ich arbeite mich jedoch gerade erstmal in das Thema SSL & CA allgemein ein und um sofort meine Errungenschaften testen zu können, habe ich mich auf das Webzertifikat für den IIS konzentriert. Dies ist auch mein sekunderäs Thema was ich einfach mal vorweg genommen habe. Also um es nochmals zu reproduzieren was ich hier heraus gelesen habe: 1. IE nutzt den Windows-eigenen Zertifikatsspeicher und benötigt keiner weiteren konfiguration. 2. FF nutzt seinen eigenen Zertifikatsspeicher, kann aber konfiguriert werden damit er auch den Windows-eigenen Zertifikasspeicher mit benutzt (das habe ich bereits umgesetzt und es funktioniert in meiner Testumgebung) 3. EDGE und Chrome nutzen zwar den Windows-eigenen Zertifikatsspeicher, benötigt aber noch weitere Einträge in der SAN des Zertifikates. b***d ist das ich somit immer ein manuell erstelltes Zertifikat mit erweiterten Einstellungen erstellen muss um SAN (und eventuell weitere Einstellungen) konfigurieren zu können und nicht 'einfach' auf dem IIS den Punkt 'Domänenzertifikat erstellen...' (im Bereich Serverzertifikate) klicken und den Wizard 'Zertifikat erstellen' nutzen kann denn dadurch wird ein Standard-Zertifikat mit nur rudimentären Einstellungen erstellt. So, wie mache ich am besten (und einfachsten) ein eigenes Zertifikat mit diesen erweiterten Einstellmöglichkeiten (z.B. SAN) für den IIS und was muss ich da genau eingeben? Ich habe das Thema bereits ein wenig 'angekratzt' weil ich für den Webserver ein Zertifikat erstellen möchte welches für das 'ansrufen' der Webseite mit dem NetBIOS-Namen als auch FQDN erstellen möchte. Dies geht wohl auch nur wenn ich dies mit erweiterten Informationen in der SAN mache. Habt ihr mir vielleicht eine gute deutsche Anleitung/HowTo wie ich das machen kann? Wenn das Thema erledigt ist, werde ich mich 2 weiteren Themen widmen: Wie erstelle ich ein Zertifikat (mit SAN) für andere Webserver / Webinterfaces (Apache2, APs, Switche, Firewall, usw.) und wie erstelle ich Gerätezertifikate damit man diese in FW für die 2-faktor-Authentifizierung per VPN nutzen kann. Aber erstmal Schritt für Schritt. Jetzt geht es um die SAN mit der ich NetBIOS und FQDN nutzen kann für ein und den selben Server UND EDGE und Chrome überhaupt diese Zertifikate auch akzeptiert (damit würde ich ja gleich beide Themen 'abhaken'). Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 2. Juni 2022 Melden Teilen Geschrieben 2. Juni 2022 vor 2 Stunden schrieb kaineanung: benötigt aber noch weitere Einträge in der SAN des Zertifikates. Den braucht Firefox und jeder andere moderne Browser auch. In irgendeinem rfc steht das auch drin afair. Zitieren Link zu diesem Kommentar
Squire 265 Geschrieben 3. Juni 2022 Melden Teilen Geschrieben 3. Juni 2022 @kaineanung - ich glaub du verdehst da was. Wenn Du für 2FA Gerätezertifikate benötigst, dann sind das Clientzertifikate. Diese müssen kein SAN Zertifikat sein, Du rufst ja die PCs nicht im Browser auf. Bei Serverzertifikaten (sprich, alles was Du per Website aufrufst (Gerätemanagement, Webserver, etc. brauchst Du ein SAN Zertifikat. Ich müsste mich jetzt sehr täuschen, dass man für das SAN Zertifikat nicht automatisch Parameter aus dem AD mitgeben könnte. (Allgemeiner Name, DNS Name, UPN ...) Du musst halt ggf. die Zertifikatsvorlage anpassen bzw. eine neue erstellen. Aber wie gesagt, ich denk mal, Du redest von Computerzertifikaten für 2FA - da brauchst Du keine SAN Zertifikate Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 3. Juni 2022 Autor Melden Teilen Geschrieben 3. Juni 2022 @Squire Keine Sorge, ich verwechsle die 2 Themen nicht. Ich weiß daß ich für die 2FA Computerzertifikate (oder alternativ Benutzerzertifikate, tendiere aber auf die Computerzertifikate) benötige. Ich arbeite mich zum allerersten mal in das Thema 'Zertifikate', CA und PKI ein. Da dies eine große Infrastruktur ist und eben mehrere Bereiche abdeckt, will ich alles, was für uns (Firma) relevant ist 'abarbeiten' bzw. mir aneignen. Bevor ich in das noch schwierigere Thema 2FA einsteige, will ich erst sicherstellen das ich PKI / CAs korrekt installiert und konfiguriert habe und erstmal, weil es einfacher ist umzusetzen und es auch gleich testen kann, schauen möchte ob das einfachere 'SSL für Webserver' (also HTTPS) überhaupt funktioniert. Steht dieser Teil kann ich mich dann auf Computerzertifikate 'stürzen' und dann unseren Dienstleister mit unseren Computerzertifikaten beliefern damit er diese in unsere FW (für VPN für die 2FA) einspielen kann. Ich hoffe ich bin mit der Vorgehensweise nicht ganz auf dem Holzweg. Vor ein paar Tagen habe ich PKI und CA nur am Rande mal von gehört. Jetzt habe ich eine PKI am laufen und versorge die Webserver damit. Jetzt dann bald kann ich mich um das eigentliche Thmea (2FA) kümmern. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 3. Juni 2022 Melden Teilen Geschrieben 3. Juni 2022 vor 37 Minuten schrieb Squire: Ich müsste mich jetzt sehr täuschen, dass man für das SAN Zertifikat nicht automatisch Parameter aus dem AD mitgeben könnte. (Allgemeiner Name, DNS Name, UPN ...) Du musst halt ggf. die Zertifikatsvorlage anpassen bzw. eine neue erstellen. Kann man, aber man muss der CA erstmal erlauben einen SAN in einem CSR auch zu berücksichtigen. ;) vor 6 Minuten schrieb kaineanung: ich PKI / CAs korrekt installiert und konfiguriert habe und erstmal, weil es einfacher ist umzusetzen Den Irrtum machen viele. :) Die Fehler dieser "korrekt installierten und konfigurierten" PKI/CAs sieht man dann später. Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 3. Juni 2022 Autor Melden Teilen Geschrieben 3. Juni 2022 @NorbertFe Das macht mir, ehrlich gesagt, große Sorgen. Ich wüsste aber nicht wie ich denn sonst anfangen könnte als mich erstmal durchzubeissen, durchzuarbeiten und so Schritt-für-Schritt zu erfahren wie das alles funktioniert. Vielleicht irgendein Tipp für mich was am allerhäufigsten falsch gemacht wird am Anfang? @all Übrigens: meine Zertifikate mit SAN funktionieren nun einwandfrei mit IE, FF (per GPO und FF-Vorlage eingestellt daß der Windows-eigene Zertifikatsspeicher mitverwendet werden soll), EDGE und Chrome. Ich musste allerdings manuell ein Zertifikat erstellen, manuell auf dem Webinterface das Zertifikat signieren lassen (vom CA) und dann das Zertifikat auf dem IIS installieren und binden. Davor (also als ich nur das Standard-Zertifikat ohne SAN-Parameter erstellt habe) musste ich im IIS lediglich 'Domänenzertifikat erstellen' anklicken, die FQDN ODER NetBIOS-Name eingeben und schwups wurde alles con der CA erledigt und ich konnte es gleich direkt 'binden'. Jetzt muss ich die ganzen Schritte dazwischen manuell machen. Schade. Aber ok, die Zertifikate für unsere APs, Switche usw. muss ich sicherlich auch so erstellen da diese ja sowieso nicht in der Domäne sind. Jedenfalls bis hierhin: vielen Dank für eure Hilfe ;) Jetzt lese ich mich in das Thema 'Computerzertifikate' ein. Irgendwer irgendwelche Tips wo ich anfangen kann? Hat wer gute Anleitungen dafür? Schon einmal im voraus Danke dafür. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 3. Juni 2022 Melden Teilen Geschrieben 3. Juni 2022 vor 15 Minuten schrieb kaineanung: die FQDN ODER NetBIOS-Name eingeben und schwups wurde alles con der CA erledigt Dann leg dir halt ne passende Zertifikatsvorlage an. Ich gebe aber zu, dass ich die IIS Implementierung dafür nie wirklich benutzt habe. Versuchs doch einfach per mmc ein Zertifikat anzufordern, da kann man das dann einfach direkt eintragen und bekommt das Zertifikat automatisch signiert. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.