none
Standalone Root CA: Autoenroll möglich? RRS feed

  • Frage

  • Hallo Zusammen,

    ich habe u.a. eine Standalone Root CA im AD laufen, mit der Computerzertifikate für VPN Rechner ausgestellt werden können.

    Das Ausrollen (inkl. Beantragen) geschieht zur Zeit noch manuell.

    Könnte man diese Computerzertifikate auch automatisch per GPO ausrollen (und automatisch verlängern lassen) oder bräuchte ich dafür dringend eine Enterprise CA?

    Danke Euch!

    Viele Grüße, Anastasia

    Mittwoch, 6. Mai 2015 15:04

Antworten

  • Moin,

    eine Stand Alone oder Offline Root CA ist eigentlich für diesen Anwendungsfall nicht geeignet.

    Eine Stand Alone CA bietet keine Zertifikatsvorlagen (Hallo Mark ;-) ) und somit gibt es auch keine Möglichkeit ein Auto Enrollment per AD zu steuern. Es lässt sich sicherlich etwas wildes mit certutil skripten, aber das möchte eigentlich niemand.

    Eine Stand ALone CA ist grundsätzlich ein guter Ansatz. Unterhalb dieser CA würde ich eine AD integrierte Policy/Issuing CA packen und die Root CA offline betreiben. Dazu darf bzw. sollte die Root CA jedoch kein AD Mitglied sein. Die Domänenzugehörigkeit kann nach der Installation der Zertifizierungsstelle nicht mehr ohne Weiteres geändert werden.

    Je nachdem wie Deine Installation bisher aussieht und forgeschritten ist, kann man überlegen ob man nochmal von vorne anfängt und es 'richtig' macht oder ob versucht wird, die Root CA (also wirklich nur die Zertifizierungsstelle) auf einen anderen Arbeitsgruppen Server zu migrieren.

    Bei VPN sollte auch die externe Erreichbarkeit der CDP bedacht werden. Die Clients von Außen müssen vor der Verbindung in der Lage sein, die Gültigkeit des Gateways zu validieren (Stickwort Man In The Middle)

    Ich empfehle mal einen Blick in Brian Komar: PKI & Certificate Security und zum Üben mal das TLG (Test Lab Guide) durch zu spielen.

    https://www.microsoft.com/learning/en-us/book.aspx?ID=9549

    https://technet.microsoft.com/en-us/library/hh831348.aspx


    This posting is provided AS IS with no warranties.


    Mittwoch, 6. Mai 2015 18:35

Alle Antworten

  • Hi,
     
    Am 06.05.2015 17:04, schrieb Anastasia Wickels:
    > ich habe u.a. eine Standalone Root CA im AD laufen, [...]
    > Könnte man diese Computerzertifikate auch automatisch per GPO ausrollen
     
    Sagen wir mal so: Ich habe keine Ahnung :-)
    die CA ist im AD bekannt und das Root Certificate wird autom. durch
    "Joindomain" an die Client verteilt?
     
    Hast du mal zum Test eine ZertVorlage erstellt auf der eine bestimmte
    Sicherheitsgruppe der PCs "AutoEnroll" Rechte hat?
    Der Client nutzt "Autoenroll", wenn es nicht per GPO abgeschaltet wurde.
     
    Solange die CA im AD bekannt ist, sollte das funktionieren, da die
    Berehchtigungen und anfragen innerhalb des ADs öiegen und stattfinden.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Mittwoch, 6. Mai 2015 18:13
  • Moin,

    eine Stand Alone oder Offline Root CA ist eigentlich für diesen Anwendungsfall nicht geeignet.

    Eine Stand Alone CA bietet keine Zertifikatsvorlagen (Hallo Mark ;-) ) und somit gibt es auch keine Möglichkeit ein Auto Enrollment per AD zu steuern. Es lässt sich sicherlich etwas wildes mit certutil skripten, aber das möchte eigentlich niemand.

    Eine Stand ALone CA ist grundsätzlich ein guter Ansatz. Unterhalb dieser CA würde ich eine AD integrierte Policy/Issuing CA packen und die Root CA offline betreiben. Dazu darf bzw. sollte die Root CA jedoch kein AD Mitglied sein. Die Domänenzugehörigkeit kann nach der Installation der Zertifizierungsstelle nicht mehr ohne Weiteres geändert werden.

    Je nachdem wie Deine Installation bisher aussieht und forgeschritten ist, kann man überlegen ob man nochmal von vorne anfängt und es 'richtig' macht oder ob versucht wird, die Root CA (also wirklich nur die Zertifizierungsstelle) auf einen anderen Arbeitsgruppen Server zu migrieren.

    Bei VPN sollte auch die externe Erreichbarkeit der CDP bedacht werden. Die Clients von Außen müssen vor der Verbindung in der Lage sein, die Gültigkeit des Gateways zu validieren (Stickwort Man In The Middle)

    Ich empfehle mal einen Blick in Brian Komar: PKI & Certificate Security und zum Üben mal das TLG (Test Lab Guide) durch zu spielen.

    https://www.microsoft.com/learning/en-us/book.aspx?ID=9549

    https://technet.microsoft.com/en-us/library/hh831348.aspx


    This posting is provided AS IS with no warranties.


    Mittwoch, 6. Mai 2015 18:35
  • Hallo

    Nicht mein "Fachgebiet" aber wir haben dies mittels GPO und einer AD Gruppe gelöst:

    GPO: Public Key Policies/Certificate Services Client - Auto-Enrollment Settings (Settings anschauen)

    Auf der CA haben wir auf dem Cert-Template eine AD Gruppe hinterlegt. Alle Members, in unserem Fall ausgesuchte Computer Objekte, haben das Recht, dass Zertifikat anzufordern (GPO auf diese Server oder OU verlinken) oder zu erneuern.

    Gruss Dani

    Donnerstag, 7. Mai 2015 06:32
  • Hallo Zusammen,

    erstmal vielen Dank für die Rückmeldungen. Ja, das Problem ist, dass ich keine Zertifikatsvorlagen für das Ausrollen verwenden kann, weil die erst mit einer Enterprise CA kommen.

    Hm, schade, dann müsste ich das gesamte CA Konstrukt mit der noch zusätzlich vorhandenen Enterprise Root CA machen und das VPN entsprechend umbauen. Damit wäre die Standalone Root CA überflüssig und könnte deinstalliert werden.

    Oder bestehen noch Hoffungen die Standalone dafür zu nutzen?

    Viele Grüße, Anastasia

    Donnerstag, 7. Mai 2015 07:26
  • Hi,
     
    Am 06.05.2015 20:35, schrieb Dark Grant:
    > Eine Stand Alone CA bietet keine Zertifikatsvorlagen (/Hallo Mark ;-)/ )
     
    Oh, das erklärt es.
     
    Steht sogar ganz groß drin :-)
     
    Danke!
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Donnerstag, 7. Mai 2015 07:30
  • Hi,
     
    Am 07.05.2015 08:32, schrieb dahawei:
    > [...] aber wir haben dies mittels GPO und einer AD
    > Gruppe gelöst:
     
    :-) Du wirst genau wie ich gerade über das "Standalone" vs. "Enterprise"
    gestolpert sein. Du hast eine Enterprise CA ;-)
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Donnerstag, 7. Mai 2015 07:36