Jump to content

Hollaridoh

Members
  • Gesamte Inhalte

    8
  • Registriert seit

  • Letzter Besuch

Profile Fields

  • Member Title
    Newbie

Fortschritt von Hollaridoh

Apprentice

Apprentice (3/14)

  • Erste Antwort
  • Erster eigener Beitrag
  • Eine Woche dabei
  • Einen Monat dabei
  • 1 Jahre dabei

Neueste Abzeichen

10

Reputation in der Community

  1. Hallo, weil wir eben genau den dort beschriebenen Vorgang automatisieren wollen. Es soll nicht möglich sein die Zertifizierungsstelle über den Browser zu erreichen und der Benutzer soll eben nicht mit MMC-Snap-Ins herumdoktern müssen, nehmen wir einfach mal an das wäre für die Benutzer zu komplex. Grüße, Hollaridoh
  2. Hallo, hier eine etwas längere Problemschilderung: Im Firman-LAN existiert eine Stammzertifizierungsstelle (Windows) des Unternehmens sowie ein VPN-Server der eingehende VPN-Verbindungen über Benutzerzertifikate authentifiziert. Jetzt soll das so geregelt werden, dass sich die Mitarbeiter an ihrem Arbeitsplatzrechner ein Zertifikat anfordern, es auf ihren USB-Stick exportieren und auf ihrem Privatrechner wieder installieren. Dieser Vorgang soll nun über entsprechende Tools automatisiert werden. das Tool, welches zuhause das Zertifikat installiert und die VPN-Verbindung einrichtet ist dabei unproblematisch. Wir brauchen nun eine Möglichkeit, wie ein Benutzer in der Firma ein Tool startet, welches nur seine AD-Benutzerdaten abfragt, damit ein Zertifikat anfordert und dieses dann speichert. Für die Zertifikatsanforderung an sich ist ja die certreq.exe aus dem W2K3-Adminpak einsetzbar, aber diese benötigt eine Zertifikatsanforderungsdatei, welche wiederum nach derzeitigem Erkenntnisstand nur über den Zertifikats-Assistenten oder eine entsprechende MMC erstellt werden kann. Gibt es irgendeine Möglichkeit, entweder diesen Assistenten Kommandozeilenbasiert anzusprechen oder die Zertifikatsanforderungsdatei anderweitig automatisiert zu erzeugen? Sorry für den langen Post, Hollaridoh
  3. Prima, ihr habt mir weitergeholfen, die ganze Geschichte funktioniert jetzt. Vielen Dank! Noch ne Frage: Gibt es auch die Möglichkeit, dass ein Administrator für einen anderen Benutzer ein Benutzerzertifikat erzeugt und exportiert, um es diesem per Datenträger zu geben? Also bspw. für einen Mitarbeiter, der keinen Arbeitsplatz in der Firma (aber ein Benutzerkonto in der Domäne) hat? Ich habe da was über ein Registrierungs-Agent-Zertifikat gefunden, aber das kann ich auch als Admin nirgends anfordern und taucht auch immer nur im Zusammenhang mit Smartcards auf.
  4. Hallo! Noch ne Frage zu der Zertifikatsgeschichte... Zur Zeit können sich alle die ein Domänenkonto haben ein Benutzerzertifikat über die Zertifizierungsstellenseite des IIS über das Internet besorgen und in den Zertifikatsspeicher installieren. Zukünftig soll der IIS aber nur innerhalb der Firma erreichbar sein. Die Kollegen müssten sich also an ihrem Arbeitsplatz ein Benutzerzertifikat anfordern, irgendwie auf USB-Stick bekommen und zuhause wieder so einspielen, dass sie es für eine VPN-Verbindung nutzen können. Wie kann man das realisieren? Exportieren habe ich schonmal über die mmc hinbekommen, aber wenn ich das Zertifikat zuhause wieder installieren will, dann weiß ich nicht welchen Zertifikatsspeicher ich wählen soll, habe jetzt die die mir am plausibelsten vorkamen ausprobiert, aber beim VPN-Aufbau findet er das Zertifikat nicht im Microsoft Certificate Store. Jemand ne Idee? Ansonsten schonmal gute Nacht!
  5. Hallo grizzly999, vielen Dank für die Antwort und die ausführliche Erklärung. Aber besonders sinnvoll ist dieser Prozess von MS ja dann nicht gerade umgesetzt... Dann ist es zumindest auch nicht unsicherer, nur ein Zertifikat für alle Benutzer auszustellen, bei "Diebstahl" hätte ja der "Dieb" immerhin eine Woche Zeit, per Brute Force Zugangsmöglichkeiten auszuprobieren. Muss man nicht verstehen, oder? Trotzdem Dir nochmals vielen Dank!
  6. Hallo und Danke! :-) Von einem Benutzerzertifikat.
  7. Hallo, ich habe auf einem W2K3-E einen VPN-Server und eine Zertifizierungsstelle eingerichtet und per RAS-Richtlinie definiert, dass sich nur Benutzer mit Zertifikat einwählen dürfen. Wenn ich jetzt den Client entsprechend konfiguriere und ohne Zertifikat versuche, eine Verbindung aufzubauen, dann wird diese aufgrund eines fehlenden Zertifikates abgelehnt. Fordere ich dann über die certsrv-Seite des Zertifizierungsservers ein Zertifikat an und installiere dies, dann kommt die Verbindung zustande. Soweit korrekt... Wenn ich jetzt aber in der Zertifizierungsstelle das Zertifikat sperre, dann ist auch weiterhin eine Einwahl möglich. Scheinbar prüft nur der Client, ob er ein Zertifikat hat, nicht der Server ob dieses gültig ist. Kann mir jemand sagen, woran das liegt? Schonmal besten Dank, Grüße, Hollaridoh
×
×
  • Neu erstellen...