none
Benutzerzertifikate an ADUser mappen RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Community,

    folgendes Problem, mit dem wir definitiv eine Arbeitserleichterung schaffen wollen.
    Wir haben derzeit 300 Mitarbeiter die mit unserem Warenwirtschaftssystem arbeiten.

    Um damit arbeiten zu können, stellen wir über das ERP System ein Benutzerzertifikat aus und
    importieren das bei demjenigen Mitarbeiter, damit er Zugriff darauf erhält.

    Da es sehr mühsam ist, das bei jedem zu machen, hatte ich jetzt überlegt, ob man diese Benutzerzertifikate (*.pfx)
    an einen ADUser hängen kann, sodass bei jeder Anmeldung, egal an welchem Computer, sein Zertifikat sogar mit übertragen wird.

    Es das prinzipiell möglich?

    Ich bin für jede Antwort dankbar.

    Gruß Martin

    Dienstag, 30. Juli 2013 06:51
    |

Alle Antworten

  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Martin,

    wir verteilen Zertifikate mit einer GPO. Diese sind im Regelfall SelfSigned. Generell solltest du aber auch Userzertifikate verteilt bekommen. Da jeder User allerdings sein eigenes hat, müsstest du jedes einzeln in die GPO einbinden. Das sollte dann aber unabhängig vom PC des Users funktionieren.

    (verbessert mich wenn ich falsch liege)

    Könntest du die Zertikikate nicht über eine Windows CA ausstellen? Das Autoenrollment funktioniert unter 2012 ja schon mit dem Standartserver und ist echt schick gemacht.

    Best regards
    Andreas Ernst
    MCITP:EA, MCP, MCTS


    • Bearbeitet Andreas Ernst Dienstag, 30. Juli 2013 08:14 ergänzung
    Dienstag, 30. Juli 2013 08:10
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Andreas,

    via GPO wird uns das zu unübersichtlich.
    Ja die Option besteht mit der eigenen CA. Problem ist, dass das ERP System seine eigene CA mitbringt.

    Wir setzen zwar eine Windows CA ein, aber dort erstellen wir nur Serverzertifikate.
    Daher die Frage, ob man pfx Dateien direkt im AD Benutzer hinterlegen kann.

    Dienstag, 30. Juli 2013 08:26
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Mit einer AD integrierten CA ist es einfach. Dort kannst du über die GPO automatsich PRO Benutzer ein Benutzerzertifikat ausrollen.

    Der Trick wäre also: Dein ERP nutzt die Windows CA ...

    Benutzerzertifikate/PFx kannst du nicht per GPO verteilen. Du kannst nur Public Keys verteilen, aber nicht den Private Key. Diese müssen indivuduell generiert werden und lassen sich aus Sicherheitsgrünnden nicht über das Sysvol deployen, Mit der AD CA würde das generieren beim Login geschehen.

    Da deine aktuelle CA vom ERP nicht automatisierbar ist, oder nicht die Windows Technik nutzt musst du scripten. Du kannst die Zertifikate an einen sicheren Speicherort exportieren und sie mit der cipher.exe in Kombination mit dem %username% aus der Share importieren. Was allerdings ein Kennwort in PLAINTEXT erfordert ... auweia ...

    Ich würde aber mal schauen, ob das ERP sich nicht umstellen lässt.

    Tschö
    Mark Heitbrink - MVP Windows Server - Group Policy
    Homepage: www.gruppenrichtlinien.de - deutsch
    GPO Tool: www.reg2xml.com - Registry Export File Converter

    Dienstag, 30. Juli 2013 08:32
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Lies Dir mal folgenden (weiterhin in der Basis gültigen Artikel) durch:

    Step-by-Step Guide to Mapping Certificates to User Accounts
    http://technet.microsoft.com/en-us/library/bb742438.aspx

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Dienstag, 30. Juli 2013 08:36
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hi,

    per GPO können nur die PublicKeys eines Zertifikats verteilt werden.

    PrivateKeys werden generiert. Die "Automatisch ausrollen" Anweisung erzeugt in Moment der Anmeldung den PrivateKey für den Benutzer.

    Stell dir mal vor der PrivKey würde im SYSVOL für alle lesbar liegen ... dann könnte den jeder importieren und die Verschlüsselten Daten lesen. Das darf nicht sein.

    Tschö
    Mark Heitbrink - MVP Windows Server - Group Policy
    Homepage: www.gruppenrichtlinien.de - deutsch
    GPO Tool: www.reg2xml.com - Registry Export File Converter

    Dienstag, 30. Juli 2013 08:42
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    bist Du hier weitergekommen?

    Gruss,
    Raul

    Raul Talmaciu, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Donnerstag, 1. August 2013 06:41
    |