none
Zertifikatsverteilung auf Mobile Devices RRS feed

  • Allgemeine Diskussion

  • Hallo zusammen,

    ich stehe vor der Aufgabe eine zertifikatsbasierte 802.1x Authentifizierung im Unternehmens WLAN zu planen und zu realisieren.

    Hierfür würde ich auch eine Microsoft Enterprise CA in Betracht ziehen wollen. Allerdings müssen die zu erstellenden Zertifikate auch auf eine größere Anzahl an Mobile Devices - IP Telefone, Smartphones, Tablets - verteilt werden und mir ist nicht klar, wie dies effektive erfolgen kann.

    Ich habe folgende Formen des Enrollment gefunden:

    Autoenrollment via Template und AD Gruppenrichtlinie

    manuelles Enrollment via MMC oder certreq.exe

    Web Enrollment

    Network Device Enrollment (NDES)

     

    Meine Fragen hierzu sind:

    Gibt es eine Möglichkeit der skriptgesteuerten Zertifikatserstellung (bulk generation) um die Zertifikate gegebenenfalls auf anderem Weg zu verteilen?

    Kann ich mit dem Network Device Enrollment die og. Anforderungen abdecken, insbesondere dann, wenn die betreffenden Devices nicht Bestandteil des AD sind?

     

    Für Eure / Ihre Hilfe vorab besten Dank

    Sonntag, 18. Dezember 2011 09:12

Alle Antworten

  • > Gibt es eine Möglichkeit der skriptgesteuerten Zertifikatserstellung
    > (bulk generation) um die Zertifikate gegebenenfalls auf anderem Weg zu
    > verteilen?
     
    Das Erstellen von Zertifikaten ist nicht das große Problem - eher das
    Erstellen der Requests sowie das Verteilen der signierten Requests auf
    die Devices.
     
    Und da kann Dir so pauschal niemand helfen.
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV...
    Sonntag, 18. Dezember 2011 21:14
    Beantworter
  • Besten Dank für die Antwort.


    Ich dachte daran, die Zertifikate im Format pkcs#12 zu erstellen, also einschliesslich des private keys:
    Erstellung private key und request, request signieren und Erstellen einer p12 Datei.
    Aus meiner Sicht sollte sich das Format auf die meisten mobile devices manuell verteilen lassen.
    Das scheint so aber nicht möglich zu sein.

    Einzige Möglichkeit wäre dann das Network Device Enrollment (NDES). Hierzu finde ich aber keine ausreichenden Infos, welche Hersteller / Geräte dies unterstützen, bzw. unterstützt werden.

    Montag, 19. Dezember 2011 10:23
  • Hallo,

     

    Ich stehe vor dem gleichen Problem und kann im Netz leider auch nicht viel darüber finden. Über NDES finde ich nichts zu diversen Smartphones oder Tablets. Ich wäre über Infos sehr dankbar?

    Grüße

    Mittwoch, 4. Januar 2012 09:04
  • Hallo,

    ich habe micht entschieden zwei verschiedene CAs / PKIs zu verwenden:

    - Active Directory Certificate Services für alle AD Member, in erster Linie Notebooks und Netbooks
    - OpenSSL CA für alle Devices, die ich via Autoenrollment nicht abdecken kann, in erster Linie WLAN Telefone

    D.h. ich werde 2 Certificate Revocation Lists von 2 verschiedenen PKIs verwenden müssen, gegen die geprüft werden muss.

    Ich plane 2 Network Policy Server als Radius Server einzusetzen und frage mich, wie gegen 2 verschiedene CRLs geprüft werden kann.

    Standardmäßig verwendet der Netzwerkrichtlinienserver die Zertifikatsperrlisten-Verteilungspunkte in den Zertifikaten.
    Es kann jedoch eine lokale Kopie der Zertifikatsperrliste auf dem Netzwerkrichtlinienserver gespeichert werden. In diesem Fall wird die lokale Zertifikatsperrliste während der Zertifikatsperrüberprüfung verwendet.

    Meine Fragen hierzu sind:

    Wenn jede PKI ihren eigenen CDP in den erstellten Zertifikaten angibt, z.B.:
    URL=http://cdp.domain.tld/pub/crl/MS-CA/20110111.crl
    URL=http://cdp.domain.tld/pub/crl/OPENSSL-CA/20110111.crl
    sollte dies doch so funktionieren?

    Wenn ich mich für die Vorgehensweise mit der lokalen Kopie entscheide und 2 verschiedene CRLs auf dem NPS speichere , z.B.:
    20110111-MS.crl
    20110111-OPENSSL.crl
    würde der NPS dann auch gegen beide, bzw. alle lokal gespeicherten CRLs prüfen?


    Für Eure / Ihre Hilfe vorab besten Dank


    Mittwoch, 11. Januar 2012 13:31