traxanos

Hallo Zusammen, ich habe ein Problem. Wir möchten gerne in Zukunft alle Rechner/Benutzer per 802.1x authentifizieren. Dazu haben wir einen entsprechenden Radius-Server aufgesetzt und auch dazugehörige Zertifikate über unsere CA erstellt. Dann haben wir per GPO eine Richtlinie für das kabelgebundene Netzwerk eingerichtet, welches sagt, traue unserer CA und prüfe den CN ob dieser passt. Soweit so gut das klappte auch auf anhiebt, ohne Zertifikatsfehler oder ähnliches werden Rechner an einem EAPOL tauglichen Port korrekt angemeldet. Nun habe ich eine weitere Richtlinie für kabellose Netzwerk erstellt, SSID hinterlegt, CA wieder ausgewählt und auch die Prüfung für den CA hinterlegt. Leider verbindet sich kein Rechner mit dieser Richtlinie mit dem entsprechenden WLAN. Klicke ich nun das WLAN manuell an, so kommt natürlich eine Fehlermeldung, da das Zertifikate neu ist. Bestätige ich dies und öffne dann die Einstellungen des Adapters, so sehe ich das mein Profil nicht genutzt wurde, und keine meiner Einstellungen vorausgefüllt sind, so wie ich es bei der kabelgebundenen Variante habe. Wir haben einen 2008 R2 AD und die Rechner sind Windows 7 Pro. Die SSID ist so aufgebaut "a11-Mitarbeiter". Die GPO wurde auf jedenfall angewendet, da Änderungen die ich danach gemacht habe, alle angewendet wurden. Ich hoffe jemand hat eine Idee. Fehler gefunden! In der Default Policy war aus irgend einem Grund eine alte XP Richtlinie und danach wird die Vista & larger nicht mehr aus der anderen Policy übernommen. Ich habe den Fehler selber gefunden. In einer anderen Richtlinie war eine alte XP Richtlinie für WLAN hinterlegt. Gelöscht und dann geht es auch.

@dunkelmann, sscep kenne ich. Als Gegenstück ist OpenSCEP (Server) in Prüfung. Ja das vermute ich auch, daher werde ich wohl auch wie ursprünglich geplant auf eine Sub CA direkt in der AD setzen. Mal schauen, ggf. nutzen wir sogar die SCEP Funktion von MS statt OpenSCEP. Wenn ich das richtig verstanden habe benötigt ja per Default die AD überhaupt kein eigene CA. So dass ich die aktuelle CA erstmal entfernen werden (inkl. Deprovisionierung) Sind aktuell nur 10 Zertifkate überhaupt noch gültig die ausgestellt wurden.

@zahni SelfSigned schreibe ich nur dazu weil in der Vergangenheit alle immer glauben wir wären eine offizielle CA, wenn wir von RootCA sprechen. Sorry für meine unglückliche Ausdrucksweise. Zu Thema SCEP: Wir planen intern einen SCEP-Server aufzustellen, da wir hunderte Geräte (Router, Switche, Firewalls, Server) manuell mit Zertifikaten ausstellen. Jetzt kam die Idee auf, ob die AD bzw. die Domänenmitglieder nicht auch direkt die Zertifkate beim zentralen SCEP-Server beantragen kann. (Sprich also ohne Windows CA). Das die Windows Zertifikatsdienste SCEP selber anbieten können, hatte ich bereits gelesen gehabt. Meine Frage zielte auf das Konsumieren eines anderen SCEP-Servers. @dunkelmann Am liebsten würde ich überhaupt keine Windows CA mehr verwenden, da wir selber alles mit OpenSSL verwalten und darin auch Experten sind. Dennoch danke für den Tipp mit den Büchern.

> Und ein ein AD erstellt nicht von alleine eine CA. das haben wir doch schon geklärt > Aha, lies dir mal den Artikel genau durch. Der über SCEP? oder den aus dem Technet? > Vielleicht sortierst Du nochmal und beschreibst exakt eine Ausgangssituation uns das Zielzenario. Habe ich doch oben. > Eine Root-CA von den Windows CA-Diensten ist nicht "SelfSigned". Spielt überhaupt keine Rolle in meinem Fall. Unsere RootCA welche als Trusted CA ausgerollt ist, soll in Zukunft als oberste CA für die Windows CA herhalten. Und hier war nur die fragen, ob das von der Windows CA überhaupt geht und wenn ja wie. Ich möchte nicht die Windows CA auf allen Systemen zusätzlich ausrollen. Dann kam die zweite Frage, ob man nicht unseren SCEP Server direkt verwenden kann.

@zahni Warum soll das nicht gehen, jede große CA macht das auch? EDIT: Hier eine Erklärung was SCEP ist. https://en.wikipedia.org/wiki/Simple_Certificate_Enrollment_Protocol

@dunkelmann das hilft mir weiter. Mal so eine zusätzliche Frage, kann die AD auch direkt einen SCEP Server ansprechen? Weil dann Spare ich mich mir den Aufwand und könnte direkt unsere eigene CA-Verwaltung ansteuern.

Die komplette AD?

Also ich habe die aber die CA nie angelegt! Sie war vom ersten Tag da. Und alle Rechner haben direkt Zertifkate nach dem einhängen bekommen. Ob das durch den Wizard damals von MS mit angelegt wurde oder so - keine Ahnung. Aber es spielt ja auch keine Rolle. Die CA ist ja nun da. Und die Frage ist wie kann ich diese austauschen gegen eine von unser CA ist bzw. signiert wurden?

Natürlich stellt eine AD immer eine RootCA aus (selfsigned) und erstellt auf Basis dieser z.B. Benutzer- und Computerzertifikate. Ggf. gibt es hier ein ein Problem was man unter einer RootCA versteht. Ich versteh darunter jede CA die keine übergeordnete CA mehr hat. Und nein ich möchte unter dieser WindowsCA kein Intermediate anlegen. Wir sind Provider und betreiben wie gesagt unsere eigene RootCA und möchte das diese WindowsCA als Intermediate unser RootCA läuft und nicht anders rum.

Also wir betreiben selber eine eigene RootCA und möchte das alles von dieser abgeleitet wird. Das Funktioniert auch wunderbar, z.B. hat unser OpenVPN-Server ein eigenes Intermediate-Zertifikate für die Verwaltung der Benutzerzertifikate. Oder für unseren ganzen Webanwendungen haben wir ebenfalls ein extra Intermediate-Zertifikate um eigene SSL-Zertifikate zu erstellen. Die einzige Ausnahme ist aktuell unsere Windows AD. Diese hat automatisch bei der Einrichtung eine eigene RootCA erstellt bekommen. Jetzt möchten wir aber gerne das die Windows AD ein Intermediate-Zertifikate von unserer RootCA verwendet, so dass alle Zertifikate die in der AD ausgestellt werden, mit unserer RootCA verifiziert werden kann. Leider kann ich aber nirgends ein Zertifikat hochladen. Lediglich die Erstellung einer neuen CA kann ich veranlassen, aber ohne irgendwelche Parameter. Mir ist es dabei egal, ob die AD mir ein CSR bereitstellt oder ich selber direkt das Intermediate-Zertifikate erstelle. Nur finde weder für die eine noch für die andere Variante Option. EDIT: Wir verwenden aktuell noch Windows Server 2008 R2

Hallo Zusammen, wir betreiben eine eigene (SelfSigned) Root CA mit mehren Intermediate-Zertifikate für verschiedene Dienste (z.B. VPN, SSL) Jetzt haben wir aktuell eine AD mit einer extra RootCA welche damals automatisch generiert wurde. Jetzt stellt sich die Frage, ob wir für die AD ein eigenes Intermediate-Zertifikate auf Basis unserer Root CA erstellen und verwenden können. Auch ist die Fragen, ob ein Wechsel im laufenden Betrieb Probleme mit den Windowsrechner gibt (in AD eingebunden). Suche schon seit einigen Wochen nach einer Möglichkeit und bin leider weger bei Google, MSDN noch hier im Forum fündig geworden. Vielleicht hat jemand einen Tipp / Idee. Gruß

Ich hab ein Problem. Wir haben ein AD DC=test,DC=intern. Darin gibt es zwei OUs. OU=Mitarbeiter und eine OU=Gruppen. Nun möchte per ADODB in VBS Benutzer mit folgenden Filter bekommen: (&(objectClass=Person)(memberOf:1.2.840.113556.1.4.1941:=CN=Testgruppe,OU=Gruppen,DC=test,DC=intern)) Leider erhalte ich aber immer nur 4 Administratoren. Suche ich per (&(objectClass=User)) Bekomme ich alle. Vereinfache ich das Ganze (alle User sind direkt memberOf Mitarbeiter) (&(objectClass=User)(memberOf=CN=Mitarbeiter,OU=Gruppen,DC=test,DC=intern)) Klappt es auch nicht. Laut ADSI ist memberOf auch bei allen Benutzer befüllt. Ich suche mit SubTree / SearchScope 2 und ohne Cache. Die Abfragen per LDAP macht genau das was ich erwarte. Es scheint also ein ADODB Problem zu sein. EDIT1: Ich habe die Abfrage mal per PowerShell (ADSI) wiederholt und bekomme hier auch nur die 4 Administratoren. EDIT2: Wenn ich nach einer anderen Gruppe suche, wo nur 1 der 4 Benutzer enthalten ist, dann finde ich auch nur diesen einen. Kann es sein, das die anderen Benutzer einfach nicht indiziert wurden oder so? EDIT3: So ich hab nun heraus gefunden, was es eine Rechteproblem ist. Ich verstehe nur nicht warum. Ich bin Administrator und Domänenadmin. Und warum bekomme ich dann ohne MemberOf Filter alle und nur mit MemberOf abfrage eben nicht. Das ergibt doch keinen Sinn.

Das könnter am Treiber liegen. Die Sende/Empfangleistung ist meistens im Treiber hintelegt. Wenn jetzt das SP2 nen eigenen Treiber verwendet könnte die Signalstärke heruntergefahren worden sein. Bei guten APs kann man ja auch die Leistung hinterlegen, und die haben ja auch nur ein normales WLAN Modul installiert.

das wird nichts mit dem brwoser zu tun haben. das ist server seitig!

das hab ich per hand in der regestry schon gemacht. da liegt ja der witz. ;) SYSTEM/CCS/Conrtol/Lsa/forceguest = 0