Zertifikatsverteilung über ADS GPO W2K

[Mysterious 10]

Hi,

ich bin derzeit dabei für meine Technikerarbeit eine self signed CA aufzusetzen um LAN User über 802.1X und 802.1Q mit Hilfe von freeradius und openldap zu Authentifizieren. Ich muss nun auf allen Workstations (300) das root Zertifikat und das zugehörige Client Zertifikat installieren.Die Zertifikate in den entsprechenden Formaten (root.der und zb client1.p12) sind vorhanden und funktionieren bei manueller Einrichtung.

 

Ist es möglich die Verteilung über die ADS vorzunehmen? Hab mal in der ADS gesucht aber nichts gefunden womit sich das realisieren lässt.

Deshalb die Frage an die Profes hier. Ist das möglich und wenn ja wo und wie? Das andere Problem ist das ich in dem SmartCard Tab in der Netzwerkverbindung dann eine Häkchen für die Vertrauenswürdige CA setzen muss damit die Authentifizierung funktioniert. Ist das ebenfalls über die ADS bzw GPO lösbar?

 

Vielen Dank schoneinmal für eure Hilfe

 

Gruß

 

Armin

[nouseforaname 10]

Hi,

 

hast du die zertifikate mit dem IAS erstellt?

XP Clients?

 

edit: sehe gerade w2k da geht es noch nicht mit der gp!

 

gruß

kai

[grizzly999 11]

Das RootZertifikat kannst du per GPO verteilen, aber Clientzertifikate nicht (natürlich nicht, wir schieben ja keine privaten Schlüssel so einfach übers Netz).

 

Mit 2003 und XP wäre es möglich Clientzertifikate per GPO anfordern und automatisch registrieren zu lassen, aber nur in dieser Verbindung

 

 

grizzly999

[Mysterious 10]

Hmmm...okay das mit dem Root-Zertifikat ist natürlich gut aber wenn i das Client Zertifikat eh von HAnd isntallieren muss... gibts da nich ne möglichkeit das über ein Script zu realisieren? HAb irgendwo mal was gelesen das es ab 2000 ein Kommandozeilentool gibt mit dem man das Root Zertifikat per Script installieren kann. Weiß jemand wie sich das nennt? Villeicht geht ja da die installation mit dem Client Zertifikat??? Wär halt praktisch.

 

Gruß Armin

[grizzly999 11]

HAb irgendwo mal was gelesen das es ab 2000 ein Kommandozeilentool gibt mit dem man das Root Zertifikat per Script installieren kann.

Du verwirrst mich

Ich sage, das Root Zertifikatkann man per GPO verteilen, und du sagst das sei gut, und jetzt fragst du nach einem Skript dafür.

Schau dir mal den certutil-befehl an, der kann hier eine Menge machen (certutil -installcert)

 

 

 

grizzly999

[Mysterious 10]

Okay, hab mich bissl ungeschickt ausgedrückt. Hatte nach ner Möglichkeit gesucht wie ich das Root Zertifikat drauf bekomm und fand den certutil Befehl. Jetzt wollte ich wissen ob es mit dem Tool auch möglich ist Clientzertifikate zu installieren. :-) So glaub jetzt isses verstädlicher *g*

[nouseforaname 10]

es ist moeglich das client zertifikat für 2k systeme per skript mit certutil einzurichten, habe ich in der praxis aber noch nicht gemacht! kann dir daher auch nicht sagen wie genau das skript dann auszusehen hat!

 

gruß

kai

[grizzly999 11]

es ist moeglich das client zertifikat für 2k systeme per skript mit certutil einzurichten,

Hmmm, würde mich aber dann wenigstens in der Theorie interessieren, wenn du das hier schon verkündest. Ich sage, das geht nicht mit certutil :D

 

 

grizzly999

[nouseforaname 10]

Hi,

 

habe jetzt auf die schnelle nur das hier gefunden . . .

 

To install the CA certificate

Syntax

certutil-installcert [-f] [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] [CACertFile]

 

Parameters

-installcert Installs a CA certificate.

-f Overwrites existing files or keys.

-gmt Displays time as Greenwich mean time.

-seconds Displays time with seconds and milliseconds.

-v Specifies verbose output.

-configCAMachineName\CAName processes the operation by using the CA specified in the configuration string (that is, CAMachineName\CAName).

CACertFile Specifies the CA signature certificate that contains the public key that is used to verify digital signatures.

-? Displays a list of certutil commands.

 

Remarks

• You must specify the CAComputerName or CAName in -config CAComputerName\CAName. Otherwise, the Select Certificate Authority dialog box appears and displays a list of all CAs that are available.

 

• If you use -config - instead of -config CAComputerName\CAName, the operation is processed using the default CA.

 

• A PKCS #7 certification chain is the preferred content for CACertFile. However, an X.509 v3 certificate is accepted if all of the certificates that will be used to form the chain are already installed on the local computer.

 

• This command also completes subordinate CA certificate installation for a subordinate CA that generated a request, but has not yet received and installed its CA certificate.

 

• This command also allows installation of a requested renewal CA certificate.

 

 

Quelle: http://technet2.microsoft.com/WindowsServer/en/Library/5e0f52f2-f7c8-4c74-9497-be52366df52e1033.mspx

 

habe aber nochmal eine genauere beschreibung gefunden an die ich erst heute abend wieder dran komm.

 

ich kann aber wie oben geschrieben nicht definitiv sagen ob es funktioniert. vielleicht funktioniert das auch nur mit dem root zertifikat der CA. Ich schaue heute abend nochmal nach!

 

mfg

kai

[grizzly999 11]

Da brauchst du nicht groß nachschauen, du musst nur deinen eigenen eigefügten Hilfetext lesen:

To install the CA certificate

 

Du weisst, was ein CA Certificate ist, und du kennt den Unterschied zu einem Client Certificate (incl. private Key)?

 

 

grizzly999

[nouseforaname 10]

@grizzly999

 

sorry, war mein fehler!

 

die möglichkeit die ich mit certutil gesehen hatte war nur für die veröffentlichung eines client zertifikats auf einer ca.

 

war nur am zweifeln dass es irgendwie eine möglichkeit geben müsste es auch auf 2k clients zu automatisieren.

 

mfg

kai