none
UserZertifikate für die Authentifizierung an Webanwendungen - Zertifikate manuell erstellen und dem User aushändigen zur selbstinstallation? RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo Forum,

    wir haben hier eine Domäne mit diversen Benutzer W2K8. Hier wollen wir für die Benutzer selbst Benutzerzertifikate über die CA automatisch erstellen und automatsich ausbringen, so das sich die Benutzer an einer Webanwendung mittels Benutzername / Kennwort UND zusätzlich mit einem Zertifikat anmelden müssen.

    Wir wollen nicht die Zertifkate für jeden Benutzer einzeln erstellen, sondern komplett automatisch ohne Benutzerinteraktion beim Anlegen des Benutzers. 

    Als zweites wollen wir die Zertifikate automatisch auf die Rechner installieren, wenn sich der Benutzer an der Domäne anmeldet. Das geht natürlich nur für Clients, die auch in der Domäne sind und mit Benutzern, die sich an der Domäne anmelden. 

    Quizfrage: Wie bekommen wir die Benutzerzertifikate auf Rechner, die NICHT in der Domäne sind? Also GPO's fallen quasi flach weil die Clients die Domäne nie erreichen. 

    Grüße

    TheHonk

    Freitag, 24. Oktober 2014 09:38
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden
    > Als zweites wollen wir die Zertifikate automatisch auf die Rechner
    > installieren, wenn sich der Benutzer an der Domäne anmeldet. Das geht
    > natürlich nur für Clients, die auch in der Domäne sind und mit
    > Benutzern, die sich an der Domäne anmelden.
     
    Mußt Du nicht - Stichwort "Auto Enrollment über Zertifikatsvorlagen"...
     
    > Quizfrage: Wie bekommen wir die Benutzerzertifikate auf Rechner, die
    > NICHT in der Domäne sind? Also GPO's fallen quasi flach weil die Clients
    > die Domäne nie erreichen.
     
    Über eine Website der CA.
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Freitag, 24. Oktober 2014 09:56
    |
  • Question
    Anmelden
    1
    Anmelden

    Hi,

    Am 24.10.2014 um 11:38 schrieb TheHonk:

    Wir wollen nicht die Zertifkate für jeden Benutzer einzeln erstellen,
    sondern komplett automatisch ohne Benutzerinteraktion beim Anlegen
    des Benutzers.

    Sieh Martins Antwort, Autoenrollment.

    Quizfrage: Wie bekommen wir die Benutzerzertifikate auf Rechner, die
    NICHT in der Domäne sind?

    Scripten mit certutil.
    Registrykeys im Deployment mitgeben, damit das System weiss "von wo":
    http://blogs.technet.com/b/askds/archive/2010/05/25/enabling-cep-and-ces-for-enrolling-non-domain-joined-computers-for-certificates.aspx

    Oder eben manuell über die certsrv Seite.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Freitag, 24. Oktober 2014 13:13
    |
  • Question
    Anmelden
    1
    Anmelden

    Moin,

    ich würde das Thema nochmal genauer betrachten. Bei Deinem Setup könnte es passieren, dass die Anwender mehrere Zertifikate bekommen bzw. benötigen, wenn sie sich an verschiedenen Clients innerhalb und außerhalb der Domäne anmelden.

    So ein Wildwuchs kann schnell unübersichtlich werden, den eigentlich angestrebten Sicherheitsgewinn ins Gegenteil verkehren und das Troubleshooting wird eine Qual.

    Es sollte der Grundsatz ein Zertifikat je Entität (Anwender) verfolgt werden. Ausnahmen würde ich nur in Kauf nehmen, wenn diese plausibel begründet werden.

    Credential roaming könnte ein Ansatz für Domänenclients sein:

    http://technet.microsoft.com/en-us/library/cc771348.aspx

    Die eleganteste Lösung wären natürlich Smartcards. Die funktionieren innerhalb und außerhalb der Domäne.

    This posting is provided AS IS with no warranties.

    Freitag, 24. Oktober 2014 18:45
    |

Alle Antworten