ZeusDionysos
-
Gesamte Inhalte
4 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von ZeusDionysos
-
-
OK. Du möchtest eine Zertifikatsinfrastruktur aufbauen und fängst bei null an. Lies Dich doch als erstes mal in Bereitstellen und Unterstützen einer PKI bei Microsoft ein. Sehr empfehlenswert ist das Buch eines ehemaligen Microsoft-Kollegen Brian Komar: 'Windows Server® 2008 PKI and Certificate Security'.
Die Zertifikatinfrastruktur ist bereits vorhanden, die haben Kollegen vor 4 oder 5 Jahren erstellt. Jedoch ist jetzt das Wissen nicht mehr im Unternehmen und ich muss mich nun damit auseinander setzen.
Eine PKI ist nichts, was man mal so eben zwischen Tür und Angel mit ein paar Mausklicks konfiguriert. Mit dem Einrichten der CA hast vermutlich schon angefangen, automatisch Computerzertifikate auszurollen. Bist Du Dir über die Konsequenzen im Klaren? Benutzerzertifikate haben bei uns zum Beispiel nur eine Lebensdauer von einem halben bis einem Jahr. Niemals 15 Jahre. Schau Dir mal seinen Vortrag How to Not Screw Up Your PKI Environment an, um einen Eindruck zu bekommen, was man alles bei einer PKI falsch machen kann.
Die CA existiert, Computerzertifikate und Benutzerzertifikate werden momentan automatisch verteilt. So weit ich es mitbekommen habe, sind die Zertifikate auf 1 Jahr Lebensdauer begrenzt.
Ich würde Dir eher empfehlen, das Problem über vertrauenswürdige Speicherorte zu lösen. Mit diesem Feature kannst Du Quellen für vertrauenswürdige Dateien auf den Festplatten der Benutzercomputer oder auf einer Netzwerkfreigabe bestimmen. Wenn ein Ordner als Quelle einer vertrauenswürdigen Datei festgelegt ist, wird jede Datei, die in dem Ordner gespeichert wird, als vertrauenswürdige Datei angesehen. Wird eine vertrauenswürdige Datei geöffnet, wird der gesamte Inhalt der Datei aktiviert, und die Benutzer werden nicht über potenzielle Risiken, die sich in der Datei verbergen, in Kenntnis gesetzt. Dazu können beispielsweise nicht signierte Add-Ins und VBA-Makros (Microsoft Visual Basic für Applikationen), Links zu Inhalten im Internet oder Datenbankverbindungen zählen.
Damit brauchst Du die Macros nicht signieren, sondern kannst den Zugriff auf den vertrauenswürdigen Speicherort anhand der Dateiberechtigungen einschränken.
Have fun!
Daniel
Danke für die Idee, das werde ich mit meinen Kollegen besprechen.
Ich werde mir erst mal die Links durchlesen und danach mit meinen Kollegen die weitere Vorgehensweise besprechen. Sobald ich etwas neues habe werde ich mich hier erneut melden.
-
Hallo Daniel und danke für deine Antwort.
Die GPO zur automatischen Verteilung habe ich nach Microsofts Beschreibung konfiguriert und die ist aktiv.
Was meinst Du mit "im breiten Stil Code Signing Zertifikate ausrollen" und "Signieren zentralisieren"?
Das Problem ist, dass einige Kollegen in der Entwicklung mit den Zertifikaten ihre VBA-Makros signieren. Wenn dann ein anderer Kollege das Makro ausführen möchte kommt von Office immer eine Warnung und ich meine es muss sogar die Sicherheitseinstellung dafür bearbeitet werden. Wenn Kollege B dann das von Kollege A signierte Makro bearbeitet hat, kann er es anschließend nicht ausführen, da es wegen dem Zertifikat was nur Kollege A hat zu Problemen kommt. Daher kam die Anforderung aus der Entwicklung ich solle zur Codesignierung intern für jeden ein Zertifikat ausstellen um so die genannte Problematik zu umgehen.
Ich muss hinzusagen, Kollege A hat bis jetzt sein Zertifikat selbst erstellt, da er einfach keine Änderungen an den Sicherheitseinstellungen von Office machen wollte.
Was spricht gegen die 15 Jahre Laufzeit? Der Vorschlag kam von meiner Vertretung mit der Anmerkung das dann erst einmal Ruhe ist. Aber kann ich das nicht mit einer Laufzeit von z. B. 3 Jahren so einstellen, dass die Zertifikate automatisch erneuert werden? Und was wäre eine gute Laufzeit dafür? Bin für Vorschläge offen, da ich mich bis jetzt nicht wirklich mit Zertifikaten auseinander gesetzt habe.
Habe jetzt die Zertifikatvorlage nochmal neu erstellt, unter Anwendung der Empfehlungen von Deinem verlinkten Thread und darin enthaltenen Verweisen. Im großen und ganzen hat sich wenig geändert und die Verteilung hat danach immer noch nicht geklappt. Zum testen habe ich dann die unterstützte Zertifizierungsstelle von 2008 Enterprise auf 2003 Enterprise runtergesetzt und jetzt bin ich so weit, dass der certsrv folgende fehlgeschlagene Anforderung anzeigt:
Anforderung: Statuscode
Der DNS-Name ist nicht verfügbar und kann dem Subjektalternativnamen nicht hinzugefügt werden. 0x8009480f (-2146875377)
Ich werde jetzt mit der Fehlermeldung weitersuchen, wenn Du oder andere Tipps / Hilfen parat haben immer her damit :)
Grüße
Christian
-
Hallo Miteinander,
habe eine Frage bzw. ein Problem mit der Zertifikaterstellung und Verteilung zur Codesignatur.
Umgebung: 2 Domaincontroller auf Windows Server 2008 Standard und 1 Mailserver auf 2008 R2 Enterprise, auf dem der AD-Zertifikatdienst läuft.
Es kommen viele Win7 Clients hinzu, die automatisch ein Zertifikat zur Firmeninternen Codesignierung (u. a. für VBA Makros) ausgestellt bekommen sollen.
Die Zertifikate sollen von der Firmen CA signiert sein, sodass die überall intern gültig sind.
Ich habe bereits folgenden Thread angeschaut, jedoch hilft der mir nicht weiter: http://www.mcseboard.de/topic/196879-code-signatur-windows-ca-herausgeber-anpassen/
Bis jetzt habe ich die Vorlage Codesignatur als duplikat erstellt und dort gewünschte Einstellungen getätigt: Laufzeit auf 15 Jahre gesetzt und zuerst für mich zum testen die Berechtigung automatisch registrieren hinzugefügt.
Jedoch kann ich über die Webschnittstelle certsrv nicht die Zertifikatvorlage auswählen, da die dort nicht angezeigt wird. Nach einem erneuten anmelden an die Domäne ist das Zertifikat immer noch nicht vorhanden. Laut der Zertifizierungsstelle sind auch keine ausstehenden oder fehlgeschlagenen Anforderungen vorhanden, in der Liste der ausgestellten Zertifikate ist auch kein passendes drin.
Was habe ich falsch gemacht, sodass das Zertifikat nicht ausgestellt wird?
Grüße
Christian
IPv6 Probleme mit RRAS (VPN)
in Windows Forum — LAN & WAN
Geschrieben
Hallo zusammen,
ich habe momentan ein paar Probleme mit IPv6 und RRAS.
Unsere Umgebung bis gestern:
Windows 2008er Domäne, Firewall, VPN Server auf 2008 R2 und alles mit IPv4.
Da einige unser Kollegen und auch Chefs zu UnityMedia gewechselt sind mussten wir leider zwecks VPN nen DualStack Betrieb einrichten.
Also haben ein Kollege und ich gestern die Firewall, die DCs und die Server mit statischen IPv6 Adressen versehen. Die Clients bekommen über DHCPv6 die Adressen und das funktioniert auch wunderbar.
Im VPN Server war für IPv4 der RAS-Server und der Router in Allgemein aktiviert. Für IPv4 wird PPTP verwendet. Unter IPv4 ist die Weiterleitung aktiviert und die Vergabe per DHCP. Funktioniert wunderbar.
Wir haben dann den IPv6 Server und Router aktiviert. Hier verwenden wir das Protokoll SSTP mit Wildcard-Zertifikat. Im Abschnitt IPv6 ist die v6 Weiterleitung und Standardroutenankündigung aktiviert. Die Präfiszuweisung ist auch aktiv. Allerdings konnten wir dabe folgendes beobachten:
Intern wird xx:xx:xx:123a:: verwendet. Gebe ich das bei der Präfixzuweisung an, kommt es zu Problemen mit der IPv6 Zuweisung. Gebe ich jedoch ein anderes Präfix an, z. B. xx:xx:xx:123b:: kommt es da zu keinen Problemen.
Unter Allgemein sind die selben Schnittstellen, jeweils mit IPv4 und IPv6. Statische ROuten sind keine vorhanden. Der DHCP-Relay-Agent ist bei beiden aktiviert.
Gestern Abend hat nun mein Kollege die Verbindung getestet und bekam folgende Ergebnisse: Über UMTS (IPv4) ist er nach 5-10 Sekunden nach Verbindungsaufbau rausgeflogen. Über DSL (IPv6) scheiterte er schon bei dem Verbindungsaufbau bei dem Status "Computer wird im Netzwerk registriert".
In der Ereignisanzeige sind nun folgende Einträge:
1) ID 34110 - RasRoutingProtocols-dhcpv6r:
2) ID 50015 - RasServer:
Ich bin momentan ziemlich ratlos wo der Fehler liegen könnte, zumal ich bis auf die Microsoft-Anleitung bzw. Hilfe (u. a. http://technet.microsoft.com/en-us/library/cc773733%28v=ws.10%29.aspx) nichts finde.
Hat einer von euch Ideen, Anleitungen oder sonstiges?
Gruß
Chris