Jump to content

Benutzerzertifikate verteilen

StefanWe

Von StefanWe
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

StefanWe Veteran

StefanWe   14

Geschrieben
Geschrieben

Hi,

 

wir haben einen Kunden, der seine Mails signieren möchte. Dazu haben wir nun testweise bei Verisign ein 60Tage Benutzerzertifikat beantragt.

 

Nun habe ich ja meine *.pfx Datei mit dem Cert und dem Privaten Schlüssel.

 

Wie bekomme ich dieses Zertifikat, bzw. für die anderen Benutzer die Zertifikate automatisch im Netzwerk ausgerollt, ohne es an jedem Client manuell zu importieren? Für eine eigene CA auf Basis Win 2003/2008 Enterprise ist das Unternehmen zu klein. Daher wollten wir für die User einzelne Zertifikate bei Verisign beantragen.

 

Oder bin ich auf einem Holzweg, so dass das Ausrollen nur über eigene CA funktioniert ?

 

Da ich ja beim Import des Privaten Schlüssels das Kennwort eingeben muss.

 

PS: Mailclient ist Outlook 2003, angebunden an Exchange 2003.

Link zu diesem Kommentar
StefanWe Veteran

StefanWe   14

Geschrieben
  • Autor
Geschrieben

Ok, habe nun eine Lösung gefunden. In Das Loginscript folgendes schreiben:

 

certutil -ImportPFX -user -p passwort \\server\freigabe\%username%.pfx

 

 

Nachtrag:

 

Kennt jemand eine Möglichkeit mittels GPO die E-Mail Sicherheitseinstellungen zu editieren? Da ich zwar so das Zertifikat in den Lokalen Store bekomme, aber trotzdem noch zu jedem User rennen muss und ihm seine Sicherheitseinstellungen festlegen muss.

Link zu diesem Kommentar
olc Veteran

olc   18

Geschrieben
Geschrieben

Hi,

 

daß das Kennwort im Klartext auf der Serverfreigabe liegt, bereitet Dir keien Kopfschmerzen? Was nützt Signierung, wenn sich jeder Prozess (also auch Schädlinge) das PFX inkl. des Kennworts unter den Nagel reißen können?

 

Bezüglich der Sicherheitseinstellungen: Prüfe einmal die Office ADMX Dateien / Vorlagen. Falls nicht vorhanden, reicht im Normalfall eine Dokumentation für die Benutzer, die Ihnen die 5 Klicks zeigt.

 

Viele Grüße

olc

Link zu diesem Kommentar
StefanWe Veteran

StefanWe   14

Geschrieben
  • Autor
Geschrieben

Hi,

bzgl des Kennwortes hast du natürlich recht. Allerdings wollte ich die PFX Dateien nur in der Zeit dort liegen lassen, bis sich die User den Morgen angemeldet haben und danach die Freigabe wieder zumachen.

Das Verteilen über die GPO funktioniert ja leider nicht. Jedenfalls nicht ohne Enterprise CA.

 

Bzgl. den ADM Dateien von Outlook, konnte ich leider nichts finden. Das mit der Doku versuch ich ja vor mir herzuschieben. Aber ich glaube mir bleibt nichts anderes über, oder hat noch jemand eine Idee?

Link zu diesem Kommentar
StefanWe Veteran

StefanWe   14

Geschrieben
  • Autor
Geschrieben

Guten Morgen,

ja die ADM gibt es, aber dort kann ich nicht das Standardsicherheitsprofil einstellen, welches Zertifikat der User nutzen soll.

 

Das Problem ist ja, das jeder User auf Optionen->Sicherheit klicken muss und dort einmal auf Einstellungen und unten das Zertifikat auswählen. Dies würde ich gerne über eine GPO Lösen, doch leider finde ich hierzu keine Einstellungen. Ich kann ledigleich festlegen, das jede Mail Automatisch siginiert wird, oder die URL der CA.

 

 

Bzw. der Zertifikatsverteilung. Welche Möglichkeit habe ich denn ansonsten, die Certs automatisch und sicher zu verteilen ?

Link zu diesem Kommentar
StefanWe Veteran

StefanWe   14

Geschrieben
  • Autor
Geschrieben

OK, das Outlook Problem hat sich entsprechend auch erledigt.

 

Es sollten schon die Stammzertifizierungszertifikate installiert sein. Dann legt Outlook beim ersten Versenden einer signierten Nachricht ein Sicherheitsprofil für das eigene Cert an. Funktioniert hervoragend.

 

 

Jetzt nur noch die Frage: Wie sollte ich am Sinnvollsten die Benutzer Certs automatisch und vor allem "sicher" ausrollen ?

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   1.810

Geschrieben
Geschrieben
OK, das Outlook Problem hat sich entsprechend auch erledigt.

 

Es sollten schon die Stammzertifizierungszertifikate installiert sein. Dann legt Outlook beim ersten Versenden einer signierten Nachricht ein Sicherheitsprofil für das eigene Cert an. Funktioniert hervoragend.

 

 

Jetzt nur noch die Frage: Wie sollte ich am Sinnvollsten die Benutzer Certs automatisch und vor allem "sicher" ausrollen ?

 

Gar nicht, denn der Sinn und Zweck eines Zertifikats ist ja, dass man den User identifizieren kann, der das Zertifikat erhalten soll. ;)

SCNR

 

Bye

Norbert

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   1.810

Geschrieben
Geschrieben

Ich zitier mal aus dem DFN. ;)

 

http://www.pki.dfn.de/fileadmin/PKI/DFN-PKI_CP_v21.pdf

 

3.2.3 Authentifizierung einer natürlichen Person

Für die Authentifizierung der Identität einer natürlichen Person gibt es die folgenden Verfahren.

a) Der Zertifikatnehmer erscheint persönlich bei einer zuständigen RA. Ein Mitarbeiter der

RA führt die Identitätsprüfung anhand eines amtlichen Ausweispapiers mit Lichtbild

(Personalausweis oder Reisepass) durch.

b) Die Authentifizierung einer natürlichen Person wird durch einen geeigneten Dienstleister

vorgenommen, der eine persönliche Identitätsprüfung anhand eines amtlichen Ausweispapiers

mit Lichtbild (Personalausweis oder Reisepass) durchführt und entsprechend

dokumentiert. Die genutzte Dienstleistung muss entweder über eine Konformitätsbestätigung

für die Umsetzung von Sicherheitskonzepten durch eine von der Bundesnetzagentur

[bNA] anerkannten Prüf- und Bestätigungsstelle verfügen oder ein konformes

Verhalten muss durch vertragliche Regelungen verpflichtend gemacht werden.

Link zu diesem Kommentar
StefanWe Veteran

StefanWe   14

Geschrieben
  • Autor
Geschrieben

Bzgl. der Verteilung von Zertifikaten habe ich noch eine Frage.

 

Man kann ja nun über die Gruppenrichtlinie "Vertrauenswürdige Stammzertifikate" verteilen. Ich habe hier nun ein Class 1 Verisign Zertifikat, das in den Benutzer Store unter Vertrauenswürdige Stammzertifikate muss.

 

Nun habe ich den GPO Editor geöffnet und möchte unterhalb von Benutzerkonfiguration->WindowsEinstellungen->Sicherheitseinstellungen->RichtlinienÖffentlicherSchlüssel->Unternehmensvertrauen das Verisign Zertifikat einbinden. ****erweise kann ich dort keine cer Dateien einbinden.

 

In der Computerkonfiguration funktioniert dies aber schon.

Welche Möglichkeit habe ich denn hier, das Zertifikat per GPO in den Store zu schieben ?

Link zu diesem Kommentar
olc Veteran

olc   18

Geschrieben
Geschrieben

Hi,

 

warum soll das Root Zertifikat nur in den Benutzer Trusted Root Store importiert werden?

Es ist vollkommen in Ordnung, es in den Computer Bereich zu importieren. Dann steht es jedem Benutzer der Maschine als "trusted" zur Verfügung.

 

Und noch einmal in aller Deutlichkeit: Die derzeitige Verteilung der Zertifikate + privaten Schlüssel ist absolut unsicher und ich empfehle Dir, das in der Form nicht durchzuführen.

 

Viele Grüße

olc

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...