Jump to content

Fragen zu NDES Server (SCEP)


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen

 

Sind hier auch NDES/SCEP Spezis unterwegs?

Suche nach einigen Antworten :D

 

Ich kann in meiner Lab Umgebung nun über den NDES User Certs verteilen, leider noch ohne private Key? Ich stelle mir nun die Frage, ober NDES überhaupt User Certs mit private Keys erstellen kann, finde bei MS auch generell sehr wenige Infos zu diesem Thema...

 

Grüsse

Simon

Link zu diesem Kommentar

Hi

 

Danke für dein Feedback, habe aktuell in meiner Demo Umgebung lediglich eine Root-CA mit entsprechender NDES Komponente. Die NDES Umgebung habe ich so konfiguriert, dass User Certs ausgestellt werden (über Registry).

 

Ich habe nun mein Mobilephone, mit welchem ich eine SCEP Anfrage starte (CN=Username), es wird auch ein User Zertifikat ausgestellt.

 

Das Whitepaper habe ich soweit auch verfolgt, allerdings ist es mir einfach unklar was genau auf dem Device passiert. Im Whitepaper wird immer vom IPSec Offline Cert gesprochen, aber das wird ja wohl für VPN verwendet. Ich muss mich mit einem User Cert inkl. Private Key an einem Proxy authentifizieren können.

 

Hast du mir 1,2 Tipps zum Thema?

 

Grüsse

Simon

Link zu diesem Kommentar

Hi,

 

Du kannst das jeweils verwendete Template anpassen, siehe dazu AD CS: Network Device Enrollment Service

 

SigningTemplate

If this key is set, NDES uses this value as the certificate template name when clients enroll for a signing certificate.

 

EncryptionTemplate

If this key is set, NDES uses this value as the certificate template name when clients enroll for an encryption certificate.

 

SigningAndEncryptionTemplate

If this key is set, NDES uses the value as the certificate template name when clients enroll for a signing and encryption certificate, or when the request does not include any enhanced key usage.

 

Note

When you modify any of these settings, you must stop and restart IIS in order for them to go into effect.

 

Viele Grüße

olc

Link zu diesem Kommentar

Hi,

 

ja, der private Schlüssel wird in diesem Fall wie angesprochen auf dem Gerät erstellt. Der NDES Server vermittelt im Kern nur den Request an die entsprechende CA und diese stellt auf Basis des Requests ein Zertifikat aus.

 

In dieser konkreten Konstellation verläßt der private Schlüssel das mobile Gerät nicht.

 

Wenn Du das Vorhaben in größerem Maßstab durchführen möchtest und nicht nur auf einem mobilen Gerät, kommst Du im Moment an Managementsoftware von Drittherstellern (egal ob für iOS, Andoid oder Windows Phone) nicht vorbei - die Standardmethoden der Telefone zur zentralen Schlüsselverwaltung sind nur sehr rudimentär oder aber schlichtweg nicht vorhanden.

 

Von welchem OS reden wir denn auf dem mobilen Gerät?

 

Viele Grüße

olc

Link zu diesem Kommentar

Hi

 

Ja die entsprechende Managementsoftware ist vorhanden, aber diese setzt lediglich auf die Konfigurationsmöglichkeiten des iOS (somit wäre auch das Device klar, Apple ;-)).

 

iOS setzt ein SCEP Request ab und wir sind uns einfach nicht sicher wegen dem Private Key, aber das hört sich ja jetzt gut an, werden uns also auf den Test gegen den Proxy (EAS) konzentrieren um hier unser Cert validieren zu können.

 

Oder hast du noch Einwände? :-)

 

Grüsse

Simon

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...