Ist es Möglich "Eigene Zertifikate" mit privatem Schlüssel per GPO verteilen?

[kaineanung 14]

Hallo Leute,

 

ich habe ein kleines Problem bei dem ich wenig Hoffnung habe es gelöst zu bekommen. Es gibt aber ab und an doch irgendwen der irgendein guten Trick kennt scheinbar unlösbare Probleme doch zu lösen. Vielleicht in diesem meinem Fall ja auch?

Ich probiere es einfach mal und stelle meine Frage:

 

Ich habe ein "Eigenes Zertifikat" mit privatem Schlüssel welches ich in der Domäne verteilen muss.

Leider ist so ein Zertifikat mit privatem Schlüssel ja nicht dafür vorgesehen per GPO verteilt werden zu können. Es ist ja auch per Passwort geschützt und MS geht sicherlich davon aus das dies dann individuell von jedem User per Wizard importiert wird und daß die User das passwort kennen und eintippen müssen.

 

Hintergrund:

Bei uns verzögert sich das Aufbauen der PKI. Daher hat unser FW-Dienstleister kurzerhand auf der FW eine CA erstellt die an die Benutzer als 'Vertrauenswürdiger Stammzertifizierungsstelle" per GPO verteilt werden soll. Dieser Teil klappt auch wunderbar.

Der andere Teil, das "Eigene Zertifikat" (P12-Datei) mit Passwort, habe ich auch vom Dienstleister bekommen und es soll, als vorübergehende Lösung, an alle verteilt werden damit wir auf der FW die 2FA aktivieren können für den VPN-Zugang. Dieses Zertifikat ist nicht individuell (so wie ich mir das Vorstelle eine Art Wildcard-Zertifizierung bei dem die Domänenzugehörigkeit der User bestätigt wird. Ist aber lediglich MEINE Vorstellung davon) und kann somit an alle verteilt werden. Das klappt so natürlich nicht per GPO.

 

Die Frage ist aber: gibt es doch irgendeine Lösung für das Verteilen an alle in der Domäne, in eine bestimmte OU oder an eine Gruppe mit bestimmter AD-Sicherheitsgruppenzugehörigkeit o.ä.?

 

Schon einmal im Voraus besten Dank für jegliche Hilfe / Informationen oder auch die finale Bestätigung das dies überhaupt nicht geht ausser manuell verteilen (z.B. per TeamViewer dann beim User importieren).

[cj_berlin 1.306]

Moin,

 

zum Glück ist es nicht per GPO möglich. Du kannst es immer als Skript oder geplanten Task verteilen, aber das Kennwort musst Du *irgendwie* mitgeben. Dazu gibt es viele Ansätze, die zu diskutieren diesen Thread sprengen würde. Und am Ende des Tages sind sie alle unsicher.

[NorbertFe 2.027]

vor 39 Minuten schrieb kaineanung:

Ich habe ein "Eigenes Zertifikat" mit privatem Schlüssel welches ich in der Domäne verteilen muss.

 

Das wäre dann aber nicht mehr privat. ;) Irgendwie ist da der Zweck des PRIVATEN Schlüssels dann weg. Ich stimme Evgenij zu.

[testperson 1.674]

Hi,

 

um welche Firewall handelt es sich denn hier? Evtl. gibt es da ja auch noch andere Wege, den Usern ihre persönliche Zertifikat bzw. "die 2FA" mitzugeben.

 

Gruß

Jan

[NilsK 2.930]

Moin,

 

Schmeiß den Dienstleister raus. Er ist dein Geld nicht wert.

 

Gruß, Nils

 

[kaineanung 14]

@NilsK

 

Nicht zu vorschnell. Der DL ist gut und hilft mir mit dieser alternative, unter Vorbehalt und eindringlichem Appell es schnell 'richtig' zu machen mit meiner PKI.

Aber ich habe eine Deadline einzuhalten und muss nun nach einer Alternative suchen. Diese hat er mir zähneknirschend vorgeschlagen...

 

@All

 

Wieso geht das mit der GPO eigentlich nicht?

1. In meiner Testumgebung habe ich dieses Zertifikat tatsächlich per GPO verteilt, leider nur in den Benutzer-Zertifikatsspeicher unter 'Vertrauenswürdige Personen'.

2. Mache ich es manuell mit dem Wizard, kann ich auswählen dass das Zertifikat automatisch in das entsprechenden abgelegt wird und dort landet er korrekterweise im 'Eigene Zertifikate'-Ordner.

 

So, ich bräuchte doch nur lediglich Punkt 1 mit Punkt 2 in Kombination. Leider ist das Feld 'Automatisch Zertifikatsspeicher wählen' (oder so ähnlich) ausgegraut beim GPO-Erstellen....

[testperson 1.674]

Security Bedenken _sollten_ eine deutlich höhere Gewichtung als Deadlines haben. Da sollten vorher evtl. noch einmal alle Beteiligten miteinander reden und die Deadline nach hinten schieben.

[NorbertFe 2.027]

vor 54 Minuten schrieb kaineanung:

Wieso geht das mit der GPO eigentlich nicht?

Aus Sicherheitsgründen. Ist das so schwer zu verstehen?

[kaineanung 14]

Ich entscheide was ich an Sicherheit haben will oder nicht. Verstehe nicht das mich MS mit dieser Politik bevormundet.

Ich will der 2FA bis ende des Monates genügen und mich vom Zeitdruck befreien damit ich es danach mit eigener PKI und allem drum und dran richtig machen kann..

Ich wollte genau diese Diskussion hier vermeiden...

 

Daher nochmal: welche Möglichkeit bleibt mir diese Zertifikate nun an unsere Clients zu verteilen? Geht das vielleicht per Anmeldescript o.ä.?

[NorbertFe 2.027]

Die Antwort steht und der Rest ist gesagt. Viel Erfolg.

[testperson 1.674]

vor 8 Stunden schrieb kaineanung:

Geht das vielleicht per Anmeldescript o.ä.?

Klar, schau dir die Befehle einmal an und überlege, wer die Anmeldescripte alles lesen kann.

 

• Import-PfxCertificate (pki) | Microsoft Docs
• certutil | Microsoft Docs

An dieser Stelle musst du dann bzgl. "Sicherheit" auch nicht mehr entscheiden, was du haben willst.

 

[kaineanung 14]

@testperson

 

Nochmal:

2FA verlangt die Versicherung bis Ende des Monats. Ich schaffe es nicht mit meiner eigenen PKI und alles richtig und korrekt und vor allem sicher zu machen.

Ich führe die jetzige Lösung nur, und das habe ich zum wiederholten mal gesagt, vorübergehend ein um der Versicherung zu genügen.

Da muss ich dann nicht bis ins letzte Detail alles bombensicher machen (das kommt ja dann noch im Nachgang) und ich verstehe nicht das ihr das nicht versteht.

 

Und das ist auch erstmal egal ob ihr das verstehen wollt oder nicht. Ihr habt die technische Grundlage und könnt jetzt leicht reden. Ihr habt entweder mega Glück gehabt das ihr bei all den IT-Themen niemals Zeitdruck hattet um diese zu erledigen oder ihr habt es vergessen wie das ist. Ich lache nun auch über die Domänenmigration wobei ich das hier vor 2 Jahren von vorne bis hinten durchgekaut hatte und mich angestellt hatte als ob das ein Unding ist. Auch damals hiess es hier: hol dir einen externen Dienstleister. Jetzt lache ich auch darüber weil es easy-peasy ist. Aber wenn man es nicht weiß dann ist es eben alles andere als easy-peasy......Ich vergesse sowas aber nicht und erkläre unseren Auszubildenden alles bis ins Detail und kann mich hineinversetzen und notfalls auch bildlich erklären mit 'viel bunt'....

 

Wie dem auch sei: ist egal jetzt. Der Rest ist dagegen und blockt ab und du hast mir 2 Links geschickt um die ich hier ersucht habe und dafür Danke ich dir sehr. Ich lese sie mir durch und schaue mal weiter....

 

Danke an euch alle, auch für die 'Sicherheitsbedenken'....

 

[MurdocX 949]

Hallo,

 

vor 2 Stunden schrieb kaineanung:

Wie dem auch sei: ist egal jetzt. Der Rest ist dagegen und blockt ab und du hast mir 2 Links geschickt um die ich hier ersucht habe und dafür Danke ich dir sehr. Ich lese sie mir durch und schaue mal weiter.... Danke an euch alle, auch für die 'Sicherheitsbedenken'....

 

der Spagat zwischen der Anforderung und das was "professionell" vertretbar ist, kann manchmal weit auseinander liegen. Als ein professionelles Forum müssen hier auch mal Grenzen gesetzt werden. Ohne eine Lösung präsentiert zu haben, hat @testperson dir die Tools zur erfolgreichen Umsetzung an die Hand gegeben.

 

Wir können deinen Unmut durch den geschäftlichen Druck verstehen, denn jeder von uns musste sicherlich schon mal etwas mit Zeitdruck erledigen. Um den Blick wieder nach vorne zu richten, versuche mal wie weit du mit den genannten Tools kommst.