none
LDAPS Patch RRS feed

 > 

Antworten

  • Question
    Anmelden
    2
    Anmelden

    Moin,

    wenn Du eine Enterprise-PKI im Einsatz hast, kannst (und solltest) Du die DCs per Autoenrollment mit dem entsprechenden Domänencontroller-Authentifizierungszertifikat versorgen, selbst wenn Du sonst kein Autoenrollment machst. Dann brauchst Du dich, bei richtiger Konfiguration natürlich, um die Verlängerung nicht zu kümmern. Die Vorlage kannst Du aber theoretisch auch duplizieren, Lebenszeit der Zertifikate erhöhen und anstelle der jetzigen Vorlage für DCs veröffentlichen.

    Falls die Zertifikate aus einer Standalone-CA kommen, bestimmt a. der Request und b. die auf der CA eingestellte Maximaldauer den Ablauf des Zertifikats. Da kannst Du höchstens ein Skript erstellen, das die Zertifikate automatisch neu ausstellt und einbindet.

    Das alles in der Annahme, dass Du eine Windows-PKI hast. Bei anderen Produkten gibt es möglicherweise etwas andere Spielregeln.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert HaschkeD Montag, 24. Februar 2020 10:29
    Donnerstag, 20. Februar 2020 21:07
    |
  • Question
    Anmelden
    2
    Anmelden
    Wie kann ich dann die neue Vorlage für die DC's veröffentlichen?


    Moin,

    die bestehende Vorlage unter "Zertifikatsvorlagen" löschen (das löscht sie nicht aus dem AD, sie ist nur auf dieser CA nicht mehr veröffentlicht), dann Rechtsklick in die Zertifikatsvorlagen --> Neu --> Auszustellende Zertifikatsvorlage.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert HaschkeD Montag, 24. Februar 2020 10:29
    Freitag, 21. Februar 2020 15:49
    |
  • Question
    Anmelden
    2
    Anmelden

    Moin,

    Du musst natürlich

    a. Autoenrollment auslösen (gpupdate /force reicht) und sicherstellen, dass das neue Zertifikat da ist

    b. DANN das alte Zertifikat löschen

    c. entweder jeden DC nacheinander durchbooten, oder den AD-Dienst durchstarten.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert HaschkeD Montag, 24. Februar 2020 10:28
    Montag, 24. Februar 2020 10:18
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Moin,

    die Policies, die das regeln, gibt es schon seit Jahren. Du kannst also jetzt bereits den jetzigen Status fest zementieren.

    Im übrigen kommt das Update im März nicht, sondern erst in der zweiten Jahreshälfte.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Donnerstag, 20. Februar 2020 17:24
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi. Danke. Das ist bekannt. Mir gehts auch eher um die Laufzeit des Zertifikats der dc‘s was ich ja dafür benötige.
    Donnerstag, 20. Februar 2020 17:28
    |
  • Question
    Anmelden
    2
    Anmelden

    Moin,

    wenn Du eine Enterprise-PKI im Einsatz hast, kannst (und solltest) Du die DCs per Autoenrollment mit dem entsprechenden Domänencontroller-Authentifizierungszertifikat versorgen, selbst wenn Du sonst kein Autoenrollment machst. Dann brauchst Du dich, bei richtiger Konfiguration natürlich, um die Verlängerung nicht zu kümmern. Die Vorlage kannst Du aber theoretisch auch duplizieren, Lebenszeit der Zertifikate erhöhen und anstelle der jetzigen Vorlage für DCs veröffentlichen.

    Falls die Zertifikate aus einer Standalone-CA kommen, bestimmt a. der Request und b. die auf der CA eingestellte Maximaldauer den Ablauf des Zertifikats. Da kannst Du höchstens ein Skript erstellen, das die Zertifikate automatisch neu ausstellt und einbindet.

    Das alles in der Annahme, dass Du eine Windows-PKI hast. Bei anderen Produkten gibt es möglicherweise etwas andere Spielregeln.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert HaschkeD Montag, 24. Februar 2020 10:29
    Donnerstag, 20. Februar 2020 21:07
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi,
    ich habe eine 2-stufige Microsoft PKI im Einsatz.
    Das CER von den DC's ist von der PKI ausgestellt worden.
    Die Zertifikatsvorlage die verwendet wird ist "Domänencontroller" und denke ich mal dann die Default Vorlage mit Default Ablaufdatum 1 Jahr....
    Diese verlängert sich ja dann innerhalb der Domäne ja selbst, aber halt nicht für andere 3-Anbietersysteme die nicht der Domäne angehören.

    Also müsste ich wie du schon geschrieben hast die jetzige Vorlage duplizieren und ein höheres Ablaufdatum eingeben.
    Wie kann ich dann die neue Vorlage für die DC's veröffentlichen?


    Freitag, 21. Februar 2020 08:10
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    das verstehe ich jetzt nicht. Die nachgelagerten Systeme müssen doch einfach nur das Zertifikat des DC validieren können, sie brauchen das Zertifikat dafür nicht vorab zu kennen - das wird ihnen ja vom DC präsentiert.

    Beschreib bitte die Anforderung etwas genauer.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Freitag, 21. Februar 2020 08:59
    |
  • Question
    Anmelden
    0
    Anmelden

    https://pradeeppapnai.com/2019/09/03/ad-ldaps-vcenter/

    Das z. B.
    vCenter will bei LDAPS ein Zertifikat vom DC haben. Wenn das jetzt nur ein Jahr läuft und abläuft wird ja die Verbindung nicht mehr funktionieren. Das vCenter kann ja nicht automatisch das CER verlängern..... 

    Freitag, 21. Februar 2020 09:07
    |
  • Question
    Anmelden
    2
    Anmelden
    Wie kann ich dann die neue Vorlage für die DC's veröffentlichen?


    Moin,

    die bestehende Vorlage unter "Zertifikatsvorlagen" löschen (das löscht sie nicht aus dem AD, sie ist nur auf dieser CA nicht mehr veröffentlicht), dann Rechtsklick in die Zertifikatsvorlagen --> Neu --> Auszustellende Zertifikatsvorlage.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert HaschkeD Montag, 24. Februar 2020 10:29
    Freitag, 21. Februar 2020 15:49
    |
  • Question
    Anmelden
    0
    Anmelden
    wir ihr eine PKI habt, kannst du dir ja ein eigenes Template mit 5 Jahren machen?

    Chris

    Montag, 24. Februar 2020 06:42
    |
  • Question
    Anmelden
    0
    Anmelden
    OK, dann ist das Ausstellen ja simpel :-)

    Gibt es da sinnvolle Erfahrungswerte wegen der Laufzeit? Oder ist bei den DC's so 5 Jahre gängig?
    Montag, 24. Februar 2020 07:57
    |
  • Question
    Anmelden
    1
    Anmelden
    OK, dann ist das Ausstellen ja simpel :-)

    Gibt es da sinnvolle Erfahrungswerte wegen der Laufzeit? Oder ist bei den DC's so 5 Jahre gängig?

    Das kommt darauf an, ob man so Sonderfälle hat wie eben vSphere. Und faslls das Dein einziger Sonderfall ist, würde ich prüfen, ob man nicht lieber WIA macht statt LDAP.

    Wenn ich die Zertifikate nach dem Einspielen in den DC nicht manuell behandeln muss, würde ich bei *höchstens* einem Jahr Laufzeit bleiben. Ansonsten ist es halt eine Abwägung zwischen Sicherheit und Aufwand.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 24. Februar 2020 08:05
    |
  • Question
    Anmelden
    0
    Anmelden
    Leider gibt's da noch ein paar andere Sonderfälle :-(

    Nachdem ich die duplizierte Vorlage dann veröffentlicht habe wird diese dann automatisiert an die DC's verteilt?
    Montag, 24. Februar 2020 08:36
    |
  • Question
    Anmelden
    1
    Anmelden
    Ja, aber Du musst noch das vorherige Zertifikat entfernen, sonst ist nicht sichergestellt, welches tatsächlich gebunden ist. 

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 24. Februar 2020 09:02
    |
  • Question
    Anmelden
    0
    Anmelden
    So.
    Vorlage dupliziert mit Laufzeit 5 Jahren. Die alte Vorlage aus der PKI gelöscht und die neue eingebunden.
    Dann die CER auf den DC's gelöscht. Es wurde leider kein neues CER ausgestellt und unsere Citrix Verbindungen von extern gingen auf einmal nicht mehr.
    Hab dann den Ursprungszustand wieder hergestellt.
    Irgendwas passt ihm da nicht so ganz.
    Montag, 24. Februar 2020 10:16
    |
  • Question
    Anmelden
    2
    Anmelden

    Moin,

    Du musst natürlich

    a. Autoenrollment auslösen (gpupdate /force reicht) und sicherstellen, dass das neue Zertifikat da ist

    b. DANN das alte Zertifikat löschen

    c. entweder jeden DC nacheinander durchbooten, oder den AD-Dienst durchstarten.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert HaschkeD Montag, 24. Februar 2020 10:28
    Montag, 24. Februar 2020 10:18
    |
  • Question
    Anmelden
    0
    Anmelden
    Ahh ,ok.
    Vielen Dank. Werde ich dann nochmal durchspielen.
    Montag, 24. Februar 2020 10:28
    |
  • Question
    Anmelden
    0
    Anmelden

    Schwerer Fall von "falsch verstanden" :-) LDAPS gilt nur, weil der Simple Bind deaktiviert wird, wenn er nicht per GPO explizit zugelassen wird. Ansonsten kann jeder, der nen Secure Bind hinbekommt, unverändert weiter per LDAP kommunizieren - und zwar auch ohne Zertifikat.

    https://susanneurich.wordpress.com/2020/02/27/mythos-ldap-traffic-auf-port-389-ist-unsicher/

    (gute Bekannte von mir, sie weiß, von was sie spricht)

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Samstag, 7. März 2020 17:24
    |
  • Question
    Anmelden
    0
    Anmelden

    Schwerer Fall von "falsch verstanden" :-)

    Auf welche Aussage bezieht sich das?

    LDAPS gilt nur, weil der Simple Bind deaktiviert wird, wenn er nicht per GPO explizit zugelassen wird. Ansonsten kann jeder, der nen Secure Bind hinbekommt, unverändert weiter per LDAP kommunizieren - und zwar auch ohne Zertifikat.

    LDAPS "gilt" auch dann, wenn bereits der Client die Verbindung mit LDAPS auf Port 636 initiiert - z.B. weil die Firewall zwischen dem Client und den DCs Port 389 gar nicht erst durchlässt. Und es geht ja nicht nur um das Abgreifen der Credentials, sondern auch um das Abhören der gesamten Kommunikation.

    Aus meiner Sicht ist in diesem ganzen Kontext aber die Frage nach dem Channel Binding viel spannender, denn da erwarte ich deutlich mehr Applikationen, die Probleme haben werden.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Sonntag, 8. März 2020 08:41
    |
  • Question
    Anmelden
    0
    Anmelden
    hat sich zufällig jemand schon mit TYPO3 und LDAPs (SSL) beschäftigt. Laut unsere WEB Kollegen verlangt die  Anwendung nun ein Client Zertifikat? Der Server ist ein Windows Server, hätte somit ohnehin Root-Domainzertifiate drauf. In der TYPO3 Anwendung kann man scheinbar kein Clientzertifat hinterlegen?

    Chris

    Dienstag, 10. März 2020 07:04
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    für LDAPS braucht die Applikation ganz bestimmt kein Client-Zertifikat, sondern muss dem Server-Zertifikat vertrauen, das der Domain Controller präsentiert.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort vorgeschlagen -- Chris -- Dienstag, 10. März 2020 09:11
    Dienstag, 10. März 2020 08:57
    |