skyerjoe 10 Geschrieben 19. Mai 2011 Melden Teilen Geschrieben 19. Mai 2011 Hallo miteinander Server: Windows Server 2008 AD Clients: windowxp sp3 Ich habe auf einer Linux Kiste den webserver apache für ssl konfiguriert. Klappt soweit auch alles, bloß muss ich bei jedem Client eine Ausnahmebestätigung machen, wen ich auf den Dienst per Browser zugreifen will. Wie kann ich in der AD einstellen, dass das Zertifikat automatisch an die versch. Clients verteillt wird? Ps: Habe es schon per GPO und domain policies mit "Vertrauenswürdigen Stammzertifizierungstellen" versucht, geht aber nicht. ( btw: geht das auch mit selbstsignierten zertifikaten?) Woran könnte es noch liegen? grüße skyerjoe Zitieren Link zu diesem Kommentar
NorbertFe 1.800 Geschrieben 19. Mai 2011 Melden Teilen Geschrieben 19. Mai 2011 Ps: Habe es schon per GPO und domain policies mit "Vertrauenswürdigen Stammzertifizierungstellen" versucht, geht aber nicht. ( btw: geht das auch mit selbstsignierten zertifikaten?) Ja das geht auch mit selbsignierten. Woran könnte es noch liegen? Welchen browser benutzt du denn? Bye Norbert Zitieren Link zu diesem Kommentar
skyerjoe 10 Geschrieben 20. Mai 2011 Autor Melden Teilen Geschrieben 20. Mai 2011 (bearbeitet) Welchen browser benutzt du denn? Hallo Norbert IE und Firefox sind im Netzwerk vorhanden... wobei vorrangig der IE benutzt wird... Was ich etz auch nochmal probiert habe den usergroups eine eigene GPO zuweisen und das ganze nicht auf Default Domain ebene einzutragen sondern verknüpft mit den gruppen der AD .. klappt aber genauso wenig ... grüße skyerjoe bearbeitet 20. Mai 2011 von skyerjoe Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 20. Mai 2011 Melden Teilen Geschrieben 20. Mai 2011 Hi, Probier mal das Zertifikat in den RootCA Container zu spielen CN=Certification Authorities, CN=Public Key Services, CN=Services, CN=Configuration, DC=ForestRootDomain This container contains trusted, selfsignedcertificates without private keys. Certificates from this container are automatically downloaded by clients within the current forest to the Trusted Root Certification Authorities container, so you should carefully choose which certificates you will consider as trusted." aus "Guide for Using Quest AD-PKI cmdlets" blub Zitieren Link zu diesem Kommentar
skyerjoe 10 Geschrieben 20. Mai 2011 Autor Melden Teilen Geschrieben 20. Mai 2011 Probier mal das Zertifikat in den RootCA Container zu spielen hallo blub.... wie krieg ich das zertifikat am leichtesten da rein? habe mal per ldp den tree ausfindig gemacht bloß habe ich von ldp keine ahnung wie ich was hinzuzufügen kann ... geschweige denn ein zertifikat mit ldp will ich mich eigentlich nicht auch noch rumschlagen .... kennst du einen einfachen schnellen weg? grüße skyerjoe Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 20. Mai 2011 Melden Teilen Geschrieben 20. Mai 2011 @skyerjoe: achte bitte in Zukunft darauf auch Großbuchstaben zu benutzen. Die Bereitschaft dir zu helfen steigt mit der guten Lesbarkeit deiner Beiträge... Zitieren Link zu diesem Kommentar
skyerjoe 10 Geschrieben 20. Mai 2011 Autor Melden Teilen Geschrieben 20. Mai 2011 @Dr Melzer: okay werd ich machen @blub Also, ich habe es hinbekommen mit dem Certutil .... jetzt ist also das auch in diesem RootCA container ....klappt nicht ... etz sehe ich aber noch eine andern Container, der damit was zu tun haben könnte. Er heißt: CN=Enrollment Services und ist im selben Kontext zu finden ... wie komme ich da ran? grüße skyerjoe Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 20. Mai 2011 Melden Teilen Geschrieben 20. Mai 2011 Hi, mit dem Firefox wirst Du kein Glück haben, der bringt eine eigene Liste an Root-Zertifikaten mit und nutzt meines Wissens nicht die Windows Container. Beim IE sollte es klappen mit der Verteilung per GPO oder LDAP - in letzterem Fall muß jedoch das Autoenrollment aktiviert sein (Computerteil per GPO), sonst funktioniert der Download nicht. An den Enrollment Container solltest Du nicht ran gehen, zumindest nicht in Deinem Fall. Der hat damit nichts zu tun. Sofern Du eine genauere Beschreibung von "geht nicht" gibst (etwa, ob das Zertifikat gar nicht im lokalen "Trusted Root Certification Authority" Container ankommt oder ob nur der Browser nichts erkennt, können wir Dir vielleicht weiterhelfen. Viele Grüße olc Zitieren Link zu diesem Kommentar
skyerjoe 10 Geschrieben 20. Mai 2011 Autor Melden Teilen Geschrieben 20. Mai 2011 Sofern Du eine genauere Beschreibung von "geht nicht" gibst (etwa, ob das Zertifikat gar nicht im lokalen "Trusted Root Certification Authority" Container ankommt oder ob nur der Browser nichts erkennt, können wir Dir vielleicht weiterhelfen. Anscheinend bin ich da echt nicht gut drin, ich gelobe Besserung :) Also... Mein Certficiate ist definitiv jetzt im RootCA mit dem Befehl: certutil -dspublish -f datei RootCA okay das war ja dass, was mir blub empfohlen hat an anderer Stelle habe ich auch noch eine LDAP Abfrage die per tls connected... aber da es nur ein Server ist, werde ich mir da kein Bein ausbrechen wegen der Zertifikatsverteilung ( zumal es eine Linux Kiste is). so zurück zu windows .... was ich gemacht habe ... die Certs in lokalen und user speicher eingetragen ... läuft.. zumindest mit dem IE sobald ich davon absehe und sie nur in den gpo's domainpolicy " Vertrauenswürdige Stammzertifizierungsstellen" und dem RootCA reinstelle... dann passiert nichts ... apropo "nur nicht im browser" kann ich noch was anderes testen? grüße skyerjoe Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 20. Mai 2011 Melden Teilen Geschrieben 20. Mai 2011 Hi, noch einmal die Frage, was "geht nicht" heißt - liegen die Zertifikate im "Trusted Root Certification Authority" Speicher der Clients oder nicht (öffne die MMC, Snapin "Certificates" --> local computer)? Ist Autoenrollment aktiviert (bei LDAP Verteilung)? Die Erklärung für Firefox hast Du ja schon erhalten. Usw. Viele Grüße olc Zitieren Link zu diesem Kommentar
skyerjoe 10 Geschrieben 23. Mai 2011 Autor Melden Teilen Geschrieben 23. Mai 2011 Hallo olc.... liegen die Zertifikate im "Trusted Root Certification Authority natürlich tun sie das .... Ist Autoenrollment aktiviert (bei LDAP Verteilung)? Du meinst in den GPOS ? Ja ist es. .... ich frage mich aber im Moment ganz ernsthaft, ob das ohne CA Service auf dem Server geht... da in Anleitungen von MS auch immer erwähnt wird, dass man ein Template für das Autoenrollment benötigt wird, und soweit ich das jetzt mitbekommen habe, geht das nur über den AD Cert Service Dienst. kann mir da jemand was dazu sagen? ... liege ich mit meiner Vermutung richtig ? grüße skyerjoe Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 23. Mai 2011 Melden Teilen Geschrieben 23. Mai 2011 Hi, Templates sind in Deinem Szenario nicht notwendig - Du möchtest ja vorhandene Zertifikate verteilen. Du bestätigst also, daß die Root Zertifikate im lokalen Computer Speicher für Root Zertifikate liegen? Falls ja schaut sie der IE auch an. Ohne eine genaue Fehlermeldung / Problembeschreibung wird das hier aber nichts... P.S.: Ich meine es wirklich nicht böse - aber ich denke, wir kommen hier so nicht weiter. Hast Du Dir ein paar Grundlagen zum Thema bei MS angelesen? Viele Grüße olc Zitieren Link zu diesem Kommentar
skyerjoe 10 Geschrieben 23. Mai 2011 Autor Melden Teilen Geschrieben 23. Mai 2011 (bearbeitet) Hast Du Dir ein paar Grundlagen zum Thema bei MS angelesen? Jo hab mir schon ein bißchen was durchgelesen. .. aber welche lektüre wäre denn noch interessant für mich, die umsonst is .... noch ne frage ... muss der Client das Root CA händisch bekommen, oder kann ich das über die Verteilung laufen lassen, mir geht es in erster linie um die Möglichkeit, das die Browser auf den Clients wissen, diesem Zertifikat kann ich vertrauen .... update: So ich hätte es jetzt sogar hinbekommen, aber jemand sagt in einem Kommentar, dass diese Möglichkeit ein Sicherheitsrisiko dastellt... Bin nach dieser Anleitung vorgegangen.... Adding “Trusted Publishers” certificate with Group Policy Das weiter unten beschriebene ( das angeblich auch gehen soll) Deploy Certificates by Using Group Policy das bringt bei mir nichts ... aber mit der Methode von 2003 gehts einwandfrei .... jetzt frage ich mich natürlich warum? und ob es wirklich eine gute Idee ist, diese andere Option dann zu nehmen? nachtrag: komisch etz gehts wieder nicht mehr ... :( grüße skyerjoe bearbeitet 23. Mai 2011 von skyerjoe Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 23. Mai 2011 Melden Teilen Geschrieben 23. Mai 2011 @skyerjoe: sag mal wieviel Ahnung hast du denn von der ganzen Materie (Windows Server, AD, netzwerke, etc) und was genau ist denn dein Job (selbstständiger Dienstleister, angestellt, etc.) bei dem was du da machst? Zitieren Link zu diesem Kommentar
skyerjoe 10 Geschrieben 24. Mai 2011 Autor Melden Teilen Geschrieben 24. Mai 2011 sag mal wieviel Ahnung hast du denn von der ganzen Materie (Windows Server, AD, netzwerke, etc) und was genau ist denn dein Job (selbstständiger Dienstleister, angestellt, etc.) bei dem was du da machst? Angehender Admin .... also in der Lernphase .... aber es stimmt schon mit PKI hab ich mich noch nicht näher befasst ... deshalb würde ich mich über Lektürempfehlungen auch freuen...... grüße skyerjoe Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.