Remove From My Forums

802.1x PEAP-TLS Computerzertifikate ohne Domain

Frage
0

Anmelden
Hallo Technetforum,

wir haben WPA2-Enterprise mit Computerzertifikaten (PEAP-TLS) im Einsatz. Zertikikate verteilen wir über eine Unternehmens CA. Autoenrollment ist konfiguriert. Funktioniert alles zu unserer Zufriedenheit. Nun haben wir aber die Aufgabenstellung, dass wir Clients (später sicher auch Handys) Zugang zu unserem WLAN ermöglichen müssen, die nicht in unserer Domain sind.

Ich weis (meine zu wissen) das Unternehmens CAs nur Zertifikate für AD Mitglieder ausstellen können. Ich betrachte unsere Anforderung aber nicht als besonderst speziell. Deswegen sollte es dafür doch eine Lösung geben... Wäre es möglich mit einem ADcomputer ein Zertifikat anzufordern und dieses auf mein Handy / Tablet / Workstation zu importieren? Ich habe so eine Herangenensweise schon in einem anderen Forum gefunden. Ich bin aber der Meinung, dass dies nicht klappen kann, da ja der Hostname des Clients im Zertikikat aufgeführt ist.

Hat mir jemand einen Lösungsansatz?

Best regards
Andreas Ernst
MCITP:EA, MCP, MCTS
- Typ geändert Raul TalmaciuMicrosoft contingent staff Freitag, 2. August 2013 07:11 Warten auf Feedback
- Typ geändert Raul TalmaciuMicrosoft contingent staff Dienstag, 6. August 2013 06:49
Dienstag, 30. Juli 2013 08:22

Antworten

|

Zitieren

Antworten

1

Anmelden
> ich versuche immernoch die Zertifikate für Clients auszustellen
> aktuell versuche ich es über die Webregistrierung
> aber warum auch immer bietet er mir nur Benutzerzertifikate an.
> Bzw. Selbst Vorlagen die aus der ComputerVorlage erstellt werden,
> landen danach unter dem Zertifikatspeicher des Benutzers.

Dein gewünschtes Verhalten ist seit Windows Vista/Server 2008 nicht mehr möglich:

[.]
Internet Explorer cannot run in the local computer's security context; therefore, users can no longer request computer certificates by using Web enrollment.
[..]
Source: http://technet.microsoft.com/en-us/library/cc749280.aspx

Bzgl:

> Certificate Request Wizard nicht kompatibel mit CA's die unter 2012 laufen

gehe bitte folgende Troubleshooting-Steps durch:

How to troubleshoot Certificate Enrollment in the MMC Certificate Snap-in
http://blogs.technet.com/b/askds/archive/2007/11/06/how-to-troubleshoot-certificate-enrollment-in-the-mmc-certificate-snap-in.aspx

> Wenn mir das jemand bestätigen könnte wäre das Klasse

Kann ich nicht bestätigen:

--

Tobias Redelberger

StarNET Services (HomeOffice)

Frankfurter Allee 193

D-10365 Berlin

Tel: +49 (30) 86 87 02 678

Mobil: +49 (163) 84 74 421

Email: T.Redelberger@starnet-services.net

Web: http://www.starnet-services.net
- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Dienstag, 6. August 2013 06:49
Mittwoch, 31. Juli 2013 13:17

Antworten

|

Zitieren
0

Anmelden
Hallo,

habe es nun mit CEP/CES gelöst. Noch eine neue Cert Vorlage erstellt. Diese kann ich nun auf meinen Non Domain Client ausbringen.

Die Anmeldung an meinem PEAP Netz funktioniert zwar immer noch nicht, aber das ist nun ein gespndertes Problem.

Danke für die (wie immer) professionelle und schnelle Hilfe.

Best regards
Andreas Ernst
MCITP:EA, MCP, MCTS
- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Dienstag, 6. August 2013 06:49
Montag, 5. August 2013 14:29

Antworten

|

Zitieren

Alle Antworten

1

Anmelden

Vergleiche einmal hiermit:

Connecting iPads to an Enterprise Wireless 802.1x Network Using Certificates and Network Device Enrollment Services (NDES)
http://blogs.technet.com/b/pki/archive/2012/02/27/ndes-and-ipads.aspx

- bzw. -

Certificate for WinRT devices and non-domain member devices
http://blogs.technet.com/b/pki/archive/2012/12/11/certificate-for-winrt-devices-and-non-domain-member-devices.aspx

Anonsten hilft folgender Suchstring:

computer certificate "non-domain" site:technet.com

--

Tobias Redelberger

StarNET Services (HomeOffice)

Frankfurter Allee 193

D-10365 Berlin

Tel: +49 (30) 86 87 02 678

Mobil: +49 (163) 84 74 421

Email: T.Redelberger@starnet-services.net

Web: http://www.starnet-services.net

Dienstag, 30. Juli 2013 09:44

Antworten

|

Zitieren
0

Anmelden

Hallo,

hat der Beitrag von Tobias weitergeholfen?

Gruss,
Raul
Raul Talmaciu, MICROSOFT
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

Mittwoch, 31. Juli 2013 11:28

Antworten

|

Zitieren
0

Anmelden
Hallo,

ich versuche immernoch die Zertifikate für Clients auszustellen aktuell versuche ich es über die Webregistrierung aber warum auch immer bietet er mir nur Benutzerzertifikate an. Bzw. Selbst Vorlagen die aus der ComputerVorlage erstellt werden, landen danach unter dem Zertifikatspeicher des Benutzers.

Forsche weiter und gebe bescheid.

Zusätzlich scheint mir der Certificate Request Wizard nicht kompatibel mit CA's die unter 2012 laufen. Wenn mir das jemand bestätigen könnte wäre das Klasse.. Er findet meine CA nicht weder über "Autodiscover noch über den Hostnamen.

Best regards
Andreas Ernst
MCITP:EA, MCP, MCTS
- Bearbeitet Andreas Ernst Mittwoch, 31. Juli 2013 12:02
Mittwoch, 31. Juli 2013 11:52

Antworten

|

Zitieren
1

Anmelden
> ich versuche immernoch die Zertifikate für Clients auszustellen
> aktuell versuche ich es über die Webregistrierung
> aber warum auch immer bietet er mir nur Benutzerzertifikate an.
> Bzw. Selbst Vorlagen die aus der ComputerVorlage erstellt werden,
> landen danach unter dem Zertifikatspeicher des Benutzers.

Dein gewünschtes Verhalten ist seit Windows Vista/Server 2008 nicht mehr möglich:

[.]
Internet Explorer cannot run in the local computer's security context; therefore, users can no longer request computer certificates by using Web enrollment.
[..]
Source: http://technet.microsoft.com/en-us/library/cc749280.aspx

Bzgl:

> Certificate Request Wizard nicht kompatibel mit CA's die unter 2012 laufen

gehe bitte folgende Troubleshooting-Steps durch:

How to troubleshoot Certificate Enrollment in the MMC Certificate Snap-in
http://blogs.technet.com/b/askds/archive/2007/11/06/how-to-troubleshoot-certificate-enrollment-in-the-mmc-certificate-snap-in.aspx

> Wenn mir das jemand bestätigen könnte wäre das Klasse

Kann ich nicht bestätigen:

--

Tobias Redelberger

StarNET Services (HomeOffice)

Frankfurter Allee 193

D-10365 Berlin

Tel: +49 (30) 86 87 02 678

Mobil: +49 (163) 84 74 421

Email: T.Redelberger@starnet-services.net

Web: http://www.starnet-services.net
- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Dienstag, 6. August 2013 06:49
Mittwoch, 31. Juli 2013 13:17

Antworten

|

Zitieren
0

Anmelden

Hallo,

danke für die schnelle Antwort. Hatte das hier im Technet gefunden. http://technet.microsoft.com/de-de/library/cc770328%28v=ws.10%29.asp

Ist wohl veraltet. Ich prüfe, ich troubleshoote und ich melde mich wieder zurück.
Best regards
Andreas Ernst
MCITP:EA, MCP, MCTS

Mittwoch, 31. Juli 2013 13:56

Antworten

|

Zitieren
0

Anmelden
Hallo,

habe es nun mit CEP/CES gelöst. Noch eine neue Cert Vorlage erstellt. Diese kann ich nun auf meinen Non Domain Client ausbringen.

Die Anmeldung an meinem PEAP Netz funktioniert zwar immer noch nicht, aber das ist nun ein gespndertes Problem.

Danke für die (wie immer) professionelle und schnelle Hilfe.

Best regards
Andreas Ernst
MCITP:EA, MCP, MCTS
- Als Antwort markiert Raul TalmaciuMicrosoft contingent staff Dienstag, 6. August 2013 06:49
Montag, 5. August 2013 14:29

Antworten

|

Zitieren

Produkte

Resources

Solutions

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Mehr Support

Kein IT-Experte?

Benutzer mit den meisten Antworten

802.1x PEAP-TLS Computerzertifikate ohne Domain

Frage

Antworten

Alle Antworten