Zertifizeriungstelle mit automatischer RootCA Verteilung ( Einst. Architektur)

Dieses Thema im Forum "Windows Server-Systeme" wurde erstellt von skyerjoe, 31. Mai 2011.

  1. skyerjoe

    skyerjoe Neues Mitglied

    Morgen Leutz

    Ich will gern eine Zertifizierungsstelle einrichten, und mit deren Hilfe eine RootCA an unsere Clients verteilen.

    Der Server ist ein Windows Server 2008 R2 ..... die clients sind xp rechner mit sp2 ... und der Linux Server ist Ubuntu

    Jetzt habe ich schon folgende Schritte vorgenommen:


    Zertifzierrungsstelle installiert und Schlüssel und CA Certificate erstellt und konfiguriert.
    1. http://technikblog.rachfahl.de/technik/einrichten-einer-microsoft-pki-mit-windows-server-2008-r2/

    Bestehende Zertifikate gelöscht nach folgender Anleitung :
    1.http://support.microsoft.com/kb/555151/en-us?fr=1

    Enrollments :
    1. http://technet.microsoft.com/en-us/library/dd379539%28WS.10%29.aspx
    2. http://openbook.galileocomputing.de/windows_server_2008/windows_server_2008_kap_12_008.htm#mj8b7e4426553c206ff8c853aa7e66acf8

    Trusted Puiblishers Eintrag:
    1. http://www.bibble-it.com/2008/09/03/adding-trusted-publishers-certificate-with-group-policy

    Guppenrichtlinien:
    2. http://technet.microsoft.com/de-de/library/cc770315%28WS.10%29.aspx

    Stores:
    1. Certificate befindet sich im Root CA und in Vertrauenswürdigen Zertifizierungssstellen im Container local machine und local user.

    Verify:
    1.Zertifikat verglichen mit den Programmen Openssl und Certutil ( fingerprint und schlüsselkenung ... verifizierung etc.. )



    Linux Seite:
    Per makecert das zertifikat importiert mit dem erstellt und signiert und linux übergeben und konfiguriert.


    So... was geht ... wenn sich der Client mit dem Server verbindet ( Clientauthentifizierung ) dann holt er sich das Zerfikat und kann erkennt auch dann dementsprechend die Trusted Certstelle im IE... aber.. wenn ich die Zertifikate händisch aus den Stores wieder entferne ... dann holt sich der IE das Zertifikat nicht selber.

    Wäre schön wenn das klappen würde ..


    grüße skyerjoe
     
  2. Ezechiel666

    Ezechiel666 Neues Mitglied

    Hallo skyerjoe,

    Heißt das, dass er dich beim Verbinden auf den Server auffordert, das Zertifikat zu installieren? Dies dürfte er gar nicht mehr, wenn das Zertifikat per Gruppenrichtlinie verteilt wurde. Könntest du - wenn dies der Fall ist - mal auf dem Client gpresult ausführen und prüfen, ob der Client unter

    COMPUTEREINSTELLUNGEN
    ----------------------
    Angewendete Gruppenrichtlinienobjekte
    --------------------------------------

    die GPO auch auflistet?

    Wenn das Zertifikat per GroupPolicy verteilt wird, kriegt es der Client, bei jedem Start - falls nicht vorhanden - neu zugeteilt.

    Gib mal Bescheid, ob ich dich komplett falsch verstanden habe oder zumindest der Ansatz passt ;-)

    GreeZ
    EzE
     
  3. Ezechiel666

    Ezechiel666 Neues Mitglied

    skyerjoe scheint sich anderweitig helfen zu lassen ->

    Ich denke mit dem Link kann der Thread geschlossen werden.
     
  4. skyerjoe

    skyerjoe Neues Mitglied

    @WTBuddha

    Nein bitte nicht schliessen ... da sich für mich immer meistens ein Gesamtbild ergibt... und deine Ausführungen sind atm Gold
    Das passt perfekt ...




    Aber.. ich bin noch am rum experimentieren.. und es zeichnet sich ein Ergebnis ab

    Ich meld mich dann nochmal falls ich probleme habe

    Trotzdem schonmal Danke

    grüße sykerjoe
     
  5. skyerjoe

    skyerjoe Neues Mitglied

    So...

    Ich wollte diesen Thread abschließen ... dachte ich aber auf meinem Prod System will er partout nicht die LDAP verb. per SSL herstellen ( getestet mit ldp.exe) , obwohl nach meiner Meinung nach alles so, wie im Test System ist. :|

    Meine Schritte:

    1. Root CA auf Linux Maschine mit openssl erstellt
    Erstellen eines Server-Zertifikates
    http://mathias-kettner.de/lw_ca_zertifikat_erstellen.html

    2. Gpo erstellt und das Root CA in Trusted Cert Container eingestellt
    http://technet.microsoft.com/en-us/librarycc770315(WS.10).aspx

    3. Request Datei auf windows server erstellt:
    siehe hier:
    http://support.microsoft.com/kb/321051/de]

    4. Auf Linux Kiste mit dem Root CA zertifiziert per openssl

    5. in die windows server umgebung mit certrequest accept eingebunden
    Aktivieren von LDAP über SSL mit einer Fremdanbieter-Zertifizierungsstelle
    http://support.microsoft.com/kb/321051/de


    Hat jemand ne idee?

    Edit: Habs gelöst, ein Routing Eintrag verweist auf eine andere ip dementsprechend muss der CN Name geändert werden.

    greetz skyerjoe
     
Die Seite wird geladen...