Zertifizeriungstelle mit automatischer RootCA Verteilung ( Einst. Architektur)

Diskutiere Zertifizeriungstelle mit automatischer RootCA Verteilung ( Einst. Architektur) im Windows Server-Systeme Forum.


Erstellt von skyerjoe  |  Antworten: 4  |  Aufrufe: 2873
  1. #1
    skyerjoe


    Zertifizeriungstelle mit automatischer RootCA Verteilung ( Einst. Architektur) - Standard

    Zertifizeriungstelle mit automatischer RootCA Verteilung ( Einst. Architektur)

    Morgen Leutz

    Ich will gern eine Zertifizierungsstelle einrichten, und mit deren Hilfe eine RootCA an unsere Clients verteilen.

    Der Server ist ein Windows Server 2008 R2 ..... die clients sind xp rechner mit sp2 ... und der Linux Server ist Ubuntu

    Jetzt habe ich schon folgende Schritte vorgenommen:


    Zertifzierrungsstelle installiert und Schlüssel und CA Certificate erstellt und konfiguriert.
    1. http://technikblog.rachfahl.de/techn...erver-2008-r2/

    Bestehende Zertifikate gelöscht nach folgender Anleitung :
    1.http://support.microsoft.com/kb/555151/en-us?fr=1

    Enrollments :
    1. http://technet.microsoft.com/en-us/l...8WS.10%29.aspx
    2. http://openbook.galileocomputing.de/windows_server_2008/windows_server_2008_kap_12_008.htm#mj8b7e4426553c2 06ff8c853aa7e66acf8

    Trusted Puiblishers Eintrag:
    1. http://www.bibble-it.com/2008/09/03/adding-trusted-publishers-certificate-with-group-policy

    Guppenrichtlinien:
    2. http://technet.microsoft.com/de-de/l...8WS.10%29.aspx

    Stores:
    1. Certificate befindet sich im Root CA und in Vertrauenswürdigen Zertifizierungssstellen im Container local machine und local user.

    Verify:
    1.Zertifikat verglichen mit den Programmen Openssl und Certutil ( fingerprint und schlüsselkenung ... verifizierung etc.. )



    Linux Seite:
    Per makecert das zertifikat importiert mit dem erstellt und signiert und linux übergeben und konfiguriert.


    So... was geht ... wenn sich der Client mit dem Server verbindet ( Clientauthentifizierung ) dann holt er sich das Zerfikat und kann erkennt auch dann dementsprechend die Trusted Certstelle im IE... aber.. wenn ich die Zertifikate händisch aus den Stores wieder entferne ... dann holt sich der IE das Zertifikat nicht selber.

    Wäre schön wenn das klappen würde ..


    grüße skyerjoe


  2. #2
    Ezechiel666


    Hallo skyerjoe,

    wenn sich der Client mit dem Server verbindet ( Clientauthentifizierung ) dann holt er sich das Zerfikat
    Heißt das, dass er dich beim Verbinden auf den Server auffordert, das Zertifikat zu installieren? Dies dürfte er gar nicht mehr, wenn das Zertifikat per Gruppenrichtlinie verteilt wurde. Könntest du - wenn dies der Fall ist - mal auf dem Client gpresult ausführen und prüfen, ob der Client unter

    COMPUTEREINSTELLUNGEN
    ----------------------
    Angewendete Gruppenrichtlinienobjekte
    --------------------------------------

    die GPO auch auflistet?

    dann holt sich der IE das Zertifikat nicht selber.
    Wenn das Zertifikat per GroupPolicy verteilt wird, kriegt es der Client, bei jedem Start - falls nicht vorhanden - neu zugeteilt.

    Gib mal Bescheid, ob ich dich komplett falsch verstanden habe oder zumindest der Ansatz passt ;-)

    GreeZ
    EzE

  3. #3
    Ezechiel666


    skyerjoe scheint sich anderweitig helfen zu lassen ->

    Ich denke mit dem Link kann der Thread geschlossen werden.

  4. #4
    skyerjoe


    @WTBuddha

    skyerjoe scheint sich anderweitig helfen zu lassen -> (http://www.mcseboard.de [...] /rootca-automatisch-ad-verteilen-2-177395.html)

    Ich denke mit dem Link kann der Thread geschlossen werden.
    Nein bitte nicht schliessen ... da sich für mich immer meistens ein Gesamtbild ergibt... und deine Ausführungen sind atm Gold
    Wenn das Zertifikat per GroupPolicy verteilt wird, kriegt es der Client, bei jedem Start - falls nicht vorhanden - neu zugeteilt.


    Gib mal Bescheid, ob ich dich komplett falsch verstanden habe oder zumindest der Ansatz passt ;-)
    Das passt perfekt ...




    Aber.. ich bin noch am rum experimentieren.. und es zeichnet sich ein Ergebnis ab

    Ich meld mich dann nochmal falls ich probleme habe

    Trotzdem schonmal Danke

    grüße sykerjoe







  5. #5
    skyerjoe


    So...

    Ich wollte diesen Thread abschließen ... dachte ich aber auf meinem Prod System will er partout nicht die LDAP verb. per SSL herstellen ( getestet mit ldp.exe) , obwohl nach meiner Meinung nach alles so, wie im Test System ist. :|

    Meine Schritte:

    1. Root CA auf Linux Maschine mit openssl erstellt
    Erstellen eines Server-Zertifikates
    http://mathias-kettner.de/lw_ca_zert...erstellen.html

    2. Gpo erstellt und das Root CA in Trusted Cert Container eingestellt
    http://technet.microsoft.com/en-us/l...8WS.10%29.aspx

    3. Request Datei auf windows server erstellt:
    siehe hier:
    http://support.microsoft.com/kb/321051/de]

    4. Auf Linux Kiste mit dem Root CA zertifiziert per openssl

    5. in die windows server umgebung mit certrequest accept eingebunden
    Aktivieren von LDAP über SSL mit einer Fremdanbieter-Zertifizierungsstelle
    http://support.microsoft.com/kb/321051/de


    Hat jemand ne idee?

    Edit: Habs gelöst, ein Routing Eintrag verweist auf eine andere ip dementsprechend muss der CN Name geändert werden.

    greetz skyerjoe

Ähnliche Themen zu Zertifizeriungstelle mit automatischer RootCA Verteilung ( Einst. Architektur)

  1. Antworten: 2
    Letzter Beitrag: 29.10.2012, 16:43
  2. Antworten: 8
    Letzter Beitrag: 03.05.2008, 19:54
  3. CPU Architektur
    Von Matze383 im Forum Windows XP
    Antworten: 1
    Letzter Beitrag: 15.10.2006, 16:38
  4. Antworten: 3
    Letzter Beitrag: 26.09.2005, 12:45
  5. DSL - ICS KB Verteilung
    Von gelöschte Person im Forum Windows XP
    Antworten: 2
    Letzter Beitrag: 15.10.2004, 12:42
Sie betrachten gerade Zertifizeriungstelle mit automatischer RootCA Verteilung ( Einst. Architektur)