StefanWe

Ich habe nun noch mal einen neuen Versuchsaufbau gemacht. Das Client Zertifikat spielt keine Rolle bei der Verschlüsselung. Traffic lässt sich sauber entschlüsseln. Warum ich aber in meinem Trace nicht an die Daten komme, versuch ich gerade herauszufinden. DH und ECC ist "eigentlich" deaktiviert. Als Cipher wird TLS_RSA verwendet. Session Reuse habe ich auch versucht zu deaktivieren. "ServerCacheTime" in der Registry auf 0 gesetzt und neugestartet. Frage ist, warum lassen sich die Daten nicht entschlüsseln...

Das ist es ja, was mich wundert. Ich habe den private key. Es wird TLS—RSA als cipher verwendet, also kein DH oder ECC. Trotzdem kann ich den Traffic nicht einsehen. Den Traffic ohne Client cert, übrigens mit gleichem Server Zertifikat, kann ich entschlüsseln..

Ok danke. Wie befürchtet. Allerdings interessant warum das so ist. Sorry, muss noch mal nachfragen. https://community.developer.visa.com/t5/Developer-Tools/What-is-Mutual-Authentication/ba-p/5757 Der Artikel erklärt eigentlich ganz gut wie der handshake funktioniert. Wenn ich das richtig sehe, wird doch das Client Zertifikat nur zum authentifizieren verwendet. Der Session key zum Verschlüsseln wird doch ein Stück wie gewohnt oben schon ausgehandelt. Daher dürfte doch das Client Zertifikat keinen Einfluss auf die Verschlüsselung haben. Was habe ich übersehen?

Klar mit fiddler. Weil er selbst den Traffic intercepted und dadurch mitschneiden kann. Ich meinte aber nachträglich decrypted mit zum Beispiel Wireshark.

Oben steht eine Vermutung, nicht eine Lösung. Vlt. habe ich etwas falsch gemacht. Hinterlege ich in wireshark das Client Zertifikat (privater Schlüssel) dann wird der Traffic trotzdem nicht entschlüsselt. Auch das www scheint hier keine Dokumentation bereitzuhalten.

Richtig. Ich werd es mir ansehen. Dennoch die Frage, ist es überhaupt möglich, Traffic zu entschlüsseln, welcher durch Client certificate geschützt ist?

ok schau ich mir an. Also Wireshark scheint es dann nicht zu können ?

Hallo, ich muss eine Web Applikation debuggen, welche zwingend den Traffic mittels Client Zertifikat verschlüsselt. Ich habe sowohl das Client Zertifikat, als auch den gesamten Traffic bereits mit Wireshark aufgezeichnet. Habe auch den privaten Schlüssel, das pfx File unter den RSA Keys hinterlegt. Aber scheinbar scheint das nicht zu reichen. Der Traffic vom Webserver zum Client, welcher vor dem Client Zertifikat läuft, konnte ich erfolgreich entschlüsseln. Ist Traffic mit Client Zertifikat überhaupt möglich zu entschlüsseln?

Hallo, ich arbeite zur Zeit mit der Smartcard Management Lösung Gemalto SafeNet Authentication Manager. Allerdings nutzen wir die Software ausschließlich, um USB Token auszurollen. Ich denke, dafür ist die Lösung eigentlich zu "groß". Uns reichen die klassischen Smartcards. Reader sind im Notebook oder ThinClient verbaut. Die Frage an euch, welche Software habt ihr, um die Zertifikate auf die Smartcards auszurollen, bzw. zu erneuern und wo beschafft ihr die Karten, bzw. von welchem Hersteller ? Vielen Dank.

Hi Nils, vielen Dank. Du schreibst, "aber öffentlich nicht nutzen". Meinst du damit, Services wie Exchange und Sharepoint nicht über diesen Namen veröffentlichen? UPN dann gleich der Abstrakte Name, oder wie idr. empfohlen, die E-Mail Adresse ?

Hallo, ich würde gerne einmal mit euch über Vor und Nachteile von AD Namen diskutieren. Aus der Historie kenne ich, dass AD Namen wie zum Beispiel corp.local gerne genommen wurden. Also ein AD Name, welcher öffentlich nicht auflösbar ist und auch nichts mit dem Namen des Unternehmens zu tun hat. Eine Zeit lang hörte man an jeder Ecke, den AD Namen als Sub Domain der öffentlich bekannten Domäne des Unternehmens zu wählen. Bsp: ad.meinefirma.de Und aktuell meine ich aufgeschnappt zu haben, dass Microsoft empfiehlt, den AD Namen = der öffentlichen Domäne zu wählen, also meinefirma.de. Ich persönlich favorisiere eigentlich corp.local mit Split DNS und UPN = meinefirma.de. Bin da allerdings bei manchen Kerberos Szenarien schon an Herausforderungen gestoßen. Nehme ich allerdings den offiziellen DNS Namen, sehe ich als Herausforderung, wenn die Firma verkauft wird, steht idr. gleich eine AD Migration mit an. Wie seht ihr das? Welche Erfahrungen habt ihr. Welche Pro und Kontra würdet ihr zu den Szenarien nennen ?

ich würde es bevorzugen ;)

Hallo, Mir ist aufgefallen, dass wenn ich in einem Powershell Script mit SetEnvironmentVariable(Name,value,“Machine“) diese nicht anschließend per $env:Name abrufen kann. Erst mit dem nächsten Script. Habt ihr eine Idee dazu wie ich die variable sofort nutzen kann?

Schau mal ob das bios vom Notebook diese Logik nicht umsetzen kann. Bei Dell und hp können es einige Modelle.

Hallo, weiß jemand von euch, wie ich eine beständige Umgebungsvariable während einer Tasksequence setze? Die Variable steht in der customsettings.ini. Ich möchte diese Variable später auf der Maschine in den Umgebungsvariablen persistent haben. Nur wie bekomme ich das hin ?

ok - habs mir schon fast gedacht.

Hallo, Habt bzw. nutzt ihr irgendwelche Optimierungen wenn ihr Server 2016 virtuell als Server betreibt? Egal ob dc, Print, file, App oder sonstwas.

Hallo, nebenbei beschäftige ich mich ein wenig mit Azure. Habe aktuell ein VPN Gateway erstellt, welches zu meinem Netzwerk einen IPSec Tunnel aufbaut. Meine virtuelle Maschine auf Azure nutzt dieses Gateway um damit mit Systemen in meinem Netz zu kommunizieren. Soweit gut. Allerdings läuft nun sämtlicher Traffic in mein lokales Netz. Ich würde gerne den externen Internet Traffic aus Azure ableiten. Habt ihr eine Idee, wie das umsetzbar ist ? ----- EDIT ----- Sehr seltsam. Man sollte erst prüfen, dann schreiben. Der Traffic geht lokal raus. Fragt mich nicht, warum ich drauf kam, dass es nicht so sei. Sorry - kann gelöscht werden.

Ok. Ihr legt Informationen an verschiedenen Stellen ab. Aber findet sie auch wieder? Das ist nämlich mein Problem. Ich finde seldten meine eigenen onenote Notizen, oder dass ich mal ein PDF zu dem Thema hatte. Die Windows suche ist so schlecht geworden. Es werden weder onenote noch Outlook Mails durchsucht. Copernic sah auf den ersten Blick zu umständlich aus. Irgendwie nicht zufriedenstellend...

Es geht um einen neuen Arbeitgeber. Die Stelle ist intern ausgeschrieben. Es ist eigentlich sicher, dass ich die Stelle bekomme. Allerdings muss eben noch über das Gehalt gesprochen werden. Dies steht noch offen. Sie kennen meine Gehaltsvorstellung. Möchte mich für das Gespräch entsprechend vorbereiten, was für Fragen / Argumente gegen ein etwas höheres Gehalt kommen könnten.

Korrekt. Auf welche Argumente stößt ihr denn bei Gehaltsverhandlungen?

Ja Privatwirtschaft. Nein ist ein Außer Tarifvertrag. Mir geht es vornehmlich um die Argumente die vom Geschäftsführer angeführt werden könnten. Müsste da bis jetzt zum Glück nie groß Argumentieren. (Kann hier auch passieren, allerdings möchte ich mich schon vorbereiten)

Hallo, Ich bin nun seit 11 Jahren Consultant und habe demnächst ein Gespräch für eine neue Position als IT Leiter. Da ich bis auf Projektleiter keine Führungsposition eingenommen habe, eine ganz neue Herausforderung für mich. Nun, meine Gehaltsvorstellung ist bekannt. Trotzdem gehe ich davon aus, dass sie versuchen werden , mein Gehalt zu drücken. Wichtig wäre mir weiterhin einen Firmenwagen zu fahren. Als eines der möglichen Argumente welche kommen könnten: die niedrigere Reisebereitschaft. Habt ihr Ideen oder Erfahrungen, welche Argumente noch kommen könnten? Ich hatte noch nie eine Gehaltsverhandlung daher die offene Frage hier im Forum. Bis jetzt bin ich mit meinem Wunsch immer ohne zu verhandeln durchgekommen. ;)

Hallo, Mittlerweile liegen Informationen verstreut. Favoriten in Chrome, Dokumente auf dem pc, Dokumente im OneDrive, Informationen in OneNote und Suchergebnisse bei Google, oder Mails/Kontakte in Outlook Dabei hab ich SharePoint Webseiten und fileserver noch nicht mal erwähnt. Leider, wenn man etwas sucht, muss man gleich drei oder mehr Suchen betätigen. Windows Suche, oneNote, outlook und Google. Das nervt. Wie handhabt ihr eure „Suche“?

Da bin ich mit meiner Meinung ja gar nicht alleine. Die überladene GUI, nervige „Firewall“ und zig Warnungen womit der einfache Benutzer eh nichts anfangen kann, tun ihr übriges. Immer vorausgesetzt, Browser und Windows werden aktuell gepatscht.