Jump to content

Benutzerzertifikat exportieren importieren


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo!

 

Noch ne Frage zu der Zertifikatsgeschichte...

 

Zur Zeit können sich alle die ein Domänenkonto haben ein Benutzerzertifikat über die Zertifizierungsstellenseite des IIS über das Internet besorgen und in den Zertifikatsspeicher installieren. Zukünftig soll der IIS aber nur innerhalb der Firma erreichbar sein. Die Kollegen müssten sich also an ihrem Arbeitsplatz ein Benutzerzertifikat anfordern, irgendwie auf USB-Stick bekommen und zuhause wieder so einspielen, dass sie es für eine VPN-Verbindung nutzen können. Wie kann man das realisieren? Exportieren habe ich schonmal über die mmc hinbekommen, aber wenn ich das Zertifikat zuhause wieder installieren will, dann weiß ich nicht welchen Zertifikatsspeicher ich wählen soll, habe jetzt die die mir am plausibelsten vorkamen ausprobiert, aber beim VPN-Aufbau findet er das Zertifikat nicht im Microsoft Certificate Store. Jemand ne Idee?

 

Ansonsten schonmal gute Nacht!

Link zu diesem Kommentar

...soweit ich weiss, werden zertifikate (im PFX oder P12 format), also mit dem dazugehörigen private key immer im zertifikatsspeicher "eigene zertifikate" abgelegt, ...insofern man den speicherort nicht selbst bzw. manuell auswählt.

 

wichtiger ist denke ich, das das zertifikat den entsprechenden zweck ( definiert) über key usage/ extend keyusage inne hält. siehe auch object identifier oid

 

(extended keyusage)

Serverauthentifizierung (Webserver) 1.3.6.1.5.5.7.3.1

IPSec end system 1.3.6.1.5.5.7.3.5

Client authentication 1.3.6.1.5.5.7.3.2

IPSec tunnel 1.3.6.1.5.5.7.3.6

Code signing 1.3.6.1.5.5.7.3.3

IPSec user 1.3.6.1.5.5.7.3.7

Email Protection 1.3.6.1.5.5.7.3.4

Timestamping 1.3.6.1.5.5.7.3.8

Netscape SGC 2.16.840.1.113730.4.1

Microsoft Server Gated Crypto - SGC 1.3.6.1.4.1.311.10.3.3

 

enthält das zertifikat nicht die entsprechende extended keyusage ( z.B. IPSEC user)... dann findet er es natürlich auch nicht wenn du es verwenden willst, bzw. wird es dir nicht angezeigt...

deshalb ist benutzerzertifikat auch nicht gleich benutzerzertifikat.

 

gruss

Link zu diesem Kommentar

Prima, ihr habt mir weitergeholfen, die ganze Geschichte funktioniert jetzt. Vielen Dank!

 

Noch ne Frage: Gibt es auch die Möglichkeit, dass ein Administrator für einen anderen Benutzer ein Benutzerzertifikat erzeugt und exportiert, um es diesem per Datenträger zu geben? Also bspw. für einen Mitarbeiter, der keinen Arbeitsplatz in der Firma (aber ein Benutzerkonto in der Domäne) hat?

Ich habe da was über ein Registrierungs-Agent-Zertifikat gefunden, aber das kann ich auch als Admin nirgends anfordern und taucht auch immer nur im Zusammenhang mit Smartcards auf.

Link zu diesem Kommentar

generell schon...

 

dennoch sollte man bedenken, das in einer pki, pkix der private key der schlüssel-teil des asymmetrisch erzeugten schlüsselpaares ist, der eigentlich NUR DEM Eigentümer, ...in deinem fall einem deiner mitarbeiter bekannt sein sollte bzw. den nur er besitzen sollte.

 

jenachdem wie du deine zertifizierungsrichtlinien definierst, kannst du das auch etwas lockerer betrachten und das asymmetrische schlüsselpaar für die mitarbeiter erzeugen.

 

ich kann dir allerdings nicht genau sagen, wie das genau bei dem zert-dienst von microsoft funktioniert, da dies ja eine webbasierte anwendung ist, zertifikate online ausgestellt werden.

 

ich selbst arbeite mit openssl, da ist das sehr gut möglich.

wenn du an den private key der certifikate-authority (CA) kommst, sollte dir nichts mehr im wege stehen, dir tools wie openssl nutzbar zu machen und selbiges zu tun.

 

ich selbst halte nicht soviel von diesen online- /webbasierten zertifikats-anwendungen, weil dir viel zuviel arbeit abgenommen wird und man nur schwer "zu verstehen lernt" ...wobei es darum wirklich geht.

 

der keinen Arbeitsplatz in der Firma (aber ein Benutzerkonto in der Domäne) hat

 

...würd ich sagen im zweifelsfall: ...von einem arbeitsplatz "als dieser" user in der domain anmelden und zertifikat anfordern über deinen IIS

 

danach das benutzerzertifikat installieren und danach kannst du es ja wieder wie beschrieben exportieren.

 

mfg

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...