none
Zertifikatsauswahl anhand von OID-Attributen RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Guten Morgen,

    wir verwenden zur sicheren Kommunikation von Server zu Client HTTPS mit von unserer Domänen-CA ausgestellten Zertifikaten. Die Zertifikate werden vom Domänencomputer selbst angefordert (Auto-Request per GPO). Das Problem ist allerdings, dass ich einige wenige Computer in der Domäne habe, bei denen im persönlichen Zertifikatsspeicher mehrere Zertifikate hinterlegt sind, die den Verwendungszweck "Clientauthentifizierung" erlauben. Unglücklicherweise sind die nicht vorhergesehenen Zertifikate auch noch die, die am längsten gültig sind, sodass der Client diese zur Authentifizierung auswählt und die Kommunikation zum Server gestört ist.

    Bei meiner Recherche bin ich auf die "PKI-Clientzertifikatsauswahl" anhand von OID-Attributen gestoßen: (https://docs.microsoft.com/de-de/mem/configmgr/core/plan-design/security/plan-for-certificates) nun weiß ich aber nicht, wie diese anzuwenden sind und ob (da das Zertifikat auto-enrolled ist) es im Zertifikat Attribute gibt, anhand derer es sich von anderen unterscheidet?

    Alternativ habe ich gesehen, dass man auch einen anderen Zertifikatsspeicher-Pfad für die Suche nach dem Clientzertifikat im SCCM hinterlegen kann. Allerdings werden die Auto-Enrollment-Zertifikate immer unter "Persönlich" gespeichert, ich könnte diese zwar per PS-Skript verschieben, dann wird jedoch ein neues Zertifikat vom Client angefordert und in "Persönlich" abgelegt.
    Wenn ich in der GPO für den Auto-Request einen anderen Zertifikatsspeicherort angebe, werden alle Zertifikate in den abweichenden Pfad abgelegt, das möchte ich auch nicht.

    Wie habt ihr das gelöst?

    Vielen Dank & freundliche Grüße
    David


    Montag, 4. April 2022 07:14
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Du meinst ob dem Aussteller des "falschen" Zertifikats vertraut wird? Nein, der Server, auf dem der Endpoint Manager installiert ist vertraut dem Zertifikat nicht, der Client-Computer aber.

    Magst du mir verraten, wo ich das Erfordernis der Vertrauensstellung konfigurieren kann?

    Das ist dadurch geregelt, dass das Root-Zertifikat der Kette im Trusted Roots Store des jeweiligen Computers ist.

    Laut dem von Dir verlinkten Artikel dürfte das Zertifikat aber nicht ausgewählt werden, denn:

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 4. April 2022 15:00
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Moin,

    ketzerische Frage: Wenn ein Client-Zertifikat von einer aus Sicht der Site vertrauenswürdigen PKI ausgestellt wurde, gültig ist und Client Authentication kann, warum sollte sich der Client nicht damit gegenüber der Site authentifizieren?

    Ansonsten musst Du halt nach Merkmalen suchen, die die "richtigen" Zertifikate von den "falschen" unterscheiden, und ggfls. solche Merkmal schaffen. Wenn z.B. die "falschen" Zertifikate immer stur auf FQDN lauten, kannst Du ja bei der Vorlage für die "richtigen" Zertifikate den DN als Subject, den FQDN als SAN verwenden und das Pinning im SCCM auf "Domain Part" setzen (erste OID auf der Liste). Oder, wenn die "falschen" Zertifikate keinen SAN haben, gibst Du den "richtigen" einen SAN und filterst darauf.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 4. April 2022 09:25
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi,

    das "falsche" Zertifikat ist von einem anderen Aussteller, nicht unserer Domänen-CA.
    Kann man beim auto-enrollment eigentlich Werte konfigurieren, die dem Zertifikat später hinzugefügt werden sollen? Dann würde ich einfach darüber ein eindeutiges Merkmal/Wert vergeben lassen und danach filtern.

    Gruß
    David

    Montag, 4. April 2022 10:12
    |
  • Question
    Anmelden
    1
    Anmelden
    das "falsche" Zertifikat ist von einem anderen Aussteller, nicht unserer Domänen-CA.
    Muss denn die Site diesem Aussteller vertrauen? Tut sie es nicht, so wird das Zertifikat nicht ausgewählt.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 4. April 2022 10:42
    |
  • Question
    Anmelden
    0
    Anmelden

    Kann man beim auto-enrollment eigentlich Werte konfigurieren, die dem Zertifikat später hinzugefügt werden sollen? Dann würde ich einfach darüber ein eindeutiges Merkmal/Wert vergeben lassen und danach filtern.


    Die Liste der OIDs, die ausgewertet werden können, steht im Artikel.

    In der Vorlage kannst Du folgende Werte verwenden:

    Nimmst Du also Full DN, werden da alle Domain-Teile drin vorkommen (wie ich oben bereits schrieb ;-) ), und Du kannst danach filtern.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 4. April 2022 10:44
    |
  • Question
    Anmelden
    0
    Anmelden
    Das "falsche" Zertifikat nutzt leider auch den Full DN :-(
    Montag, 4. April 2022 10:56
    |
  • Question
    Anmelden
    0
    Anmelden
    Ich habe einfach nichts, das man filtern kann, außer der Seriennummer aber die ist bei jedem Rechner/Zertifikat unterschiedlich. Ich werde nun per PS einen neuen Pfad im Zertifikatsspeicher anlegen lassen und das Zertifikat in diesen kopieren. Dem SCCM gebe ich dann den Pfad des Stores an.

    Gruß
    David
    Montag, 4. April 2022 11:31
    |
  • Question
    Anmelden
    1
    Anmelden
    Was ist denn mit dem Vertrauen? Muss die Site der anderen CA vertrauen?

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 4. April 2022 13:38
    |
  • Question
    Anmelden
    0
    Anmelden

    Du meinst ob dem Aussteller des "falschen" Zertifikats vertraut wird? Nein, der Server, auf dem der Endpoint Manager installiert ist vertraut dem Zertifikat nicht, der Client-Computer aber.

    Magst du mir verraten, wo ich das Erfordernis der Vertrauensstellung konfigurieren kann?

    Vielen Dank & Gruß
    David


    Montag, 4. April 2022 14:21
    |
  • Question
    Anmelden
    1
    Anmelden

    Du meinst ob dem Aussteller des "falschen" Zertifikats vertraut wird? Nein, der Server, auf dem der Endpoint Manager installiert ist vertraut dem Zertifikat nicht, der Client-Computer aber.

    Magst du mir verraten, wo ich das Erfordernis der Vertrauensstellung konfigurieren kann?

    Das ist dadurch geregelt, dass das Root-Zertifikat der Kette im Trusted Roots Store des jeweiligen Computers ist.

    Laut dem von Dir verlinkten Artikel dürfte das Zertifikat aber nicht ausgewählt werden, denn:

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 4. April 2022 15:00
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi Evgenij,

    du hast Recht aber das Zertifikat wird trotzdem ausgewählt... eigentlich dürfte es das aber nicht.
    Meinst du nicht, dass die Auswahl des Zertifikats beim Client liegt?

    Anders kann ich mir das Verhalten ansonsten nicht herleiten.

    Gruß
    David
    Montag, 4. April 2022 16:54
    |
  • Question
    Anmelden
    1
    Anmelden

    Meinst du nicht, dass die Auswahl des Zertifikats beim Client liegt?

    Im Endeffekt schon, aber die Liste der Trusted Publisher bekommt er vom MP, denn der MP muss das Zertifikat ja am Ende des Tages validieren. Lies den Artikel aufmerksam, da sind einige Bedingungen skizziert, unter denen der MP keine Trust List ausgibt.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 4. April 2022 16:57
    |
  • Question
    Anmelden
    0
    Anmelden
    Was mir noch gerade eingefallen ist: Ich hab heute erst am MP das Root-Zertifikat der Domänen-CA hinterlegt, zuvor war dies nicht in der Konsole des MP gesetzt. Vielleicht hat er deshalb auch anderen Zertifikaten von nicht vertrauenswürdigen CAs vertraut?

    Oh man, wenn das wirklich der Grund war dann erscheint es so einfach und offensichtlich...

    Gruß
    David

    Montag, 4. April 2022 18:23
    |
  • Question
    Anmelden
    0
    Anmelden
    Genau das war der Fehler.
    Ich freue mich sehr 🥳

    Vielen vielen Dank für deinen Beitrag, Evgenij!
    Montag, 4. April 2022 18:52
    |