Clientzertifikate für Nicht-Ad-Mitglieder

[groszmann 10]

Hallo,

 

ich möchte folgendes realisieren:

- Absicherung des Zugriffs über das Internet auf interne Terminalserverressourcen mittels Clientzertifikaten

 

Der Zugriff läuft derzeit ohne Zertifikate, so dass ich keine Kontrolle über die zugreifenden Clients habe. Ziel ist, den Zugriff auf Clients zu beschränken, auf denen ein selbstausgestelltes Zertifikat installiert ist.

 

Meine Umgebung:

- Clients: PCs von WinXP bis Win7, diese sind nicht Mitglieder der Domäne aud die zugegriffen wird. Die Authentifizierung läuft derzeit ausschliesslich über Benutzername und Passwort (die Benutzer sind natürlich Domänenmitglieder)

- ISA2006 als Perimeterfirewall

- Terminalservergateway zur Zuordnung der Zugriffe von verschiedenen Mandanten auf die internen Ressourcen

- Eigene Unternehmens-PKI

 

Ich stelle mir vor, für die Clients Zertifikate mit der eigenen PKI auszustellen, diese und das Stammstellenzertifikat auf den jeweiligen Clients zu installieren und die ISA-Regel entsprechen anzupassen, so dass man nur mit gültigem Zertifikat durchkommt.

 

Die Probleme beginnen aber schon bei der Beantragung des Zertifikats am Client. Ich weiss nicht, wie hier vorgegangen werden muss und habe trotz intensiver Recherche keine Anleitung hierzu finden können. Das Zertifikat muss über eine crq-Datei offline beantragt werden, die PKI ist über das Internet nicht erreichbar.

 

Kann mir jemand das Vorgehen beschreiben oder kennt einen link zu einem detaillierten HowTo?

 

 

 

Gruss

 

Hans