Lemgo 0 Geschrieben 8. Februar 2020 Melden Geschrieben 8. Februar 2020 Hallo, i bin neu hier im Forum.? Hoffentlich mach ich das jetzt richtig. ich möchte mit Group Policy Zertifikate für den Internet Explorer - Userbezogen - verteilen. Leider finde ich keine passende Einstellung. Könnt ihr mir da helfen?
NilsK 3.045 Geschrieben 8. Februar 2020 Melden Geschrieben 8. Februar 2020 Moin, du müsstest bitte näher beschreiben, was du erreichen willst. Gruß, Nils
Lemgo 0 Geschrieben 9. Februar 2020 Autor Melden Geschrieben 9. Februar 2020 Hallo! Ich habe ein Zertifikat (Usercert) und möchte das bei bei mehreren Useren importieren. Das Zertifikat wird im Internet Explorer für den Zugriff auf eine bestimmte Seite verwendet. Ich dachte, dass es vielleicht mit GPO besser zu verwalten ist als zu jedem User zu gehen um dort das Zertifikat zu importieren. Grüße
Shao-Lee 11 Geschrieben 9. Februar 2020 Melden Geschrieben 9. Februar 2020 Habe grad' mal bei uns geschaut: die Zertifikatsbereitstellungsoptionen per GPO auf Computerebene sind tatsächlich breiter aufgestellt, als auf Benutzerebene. \ Computerkonfiguration (<=>Benutzerkonfiguration) \ Windows-Einstellungen \ Sicherheitseinstellungen \ Richtlinien für öffentliche Schlüssel In diesem(n) Bereich(en) kannst Du ein RollOut von Zertifikatsdateien konfigurieren. Viel Erfolg!
NorbertFe 2.277 Geschrieben 9. Februar 2020 Melden Geschrieben 9. Februar 2020 Ja aber nur für öffentliche Schlüssel und die Anforderung klingt nach private keys, was aber per goo nicht funktioniert. 1
Lemgo 0 Geschrieben 9. Februar 2020 Autor Melden Geschrieben 9. Februar 2020 Ja es handelt sich um einen privaten Schlüssel. ? Hab scho überlegt, dass mit am Script zu machen... bin aber net sicher ob i dann mit GPO sowas ausrollen kann.
4zap 17 Geschrieben 9. Februar 2020 Melden Geschrieben 9. Februar 2020 vor einer Stunde schrieb NorbertFe: Ja aber nur für öffentliche Schlüssel und die Anforderung klingt nach private keys, was aber per goo nicht funktioniert. Äh mit einer eigenen rootCA bzw. PKI sollte das doch problemlos möglich sein. Oder versteh ich was falsch? UserCert Auto-Enrollment. Funktioniert bei uns so das bei jeder ersten Useranmeldung am Device das UserCert mit ausgerollt wird. Kann man so konfigurieren das kein Usereingriff notwendig ist. In der Standardkonfig wird der User ständig benachrichtigt. Nervt. Bloss nicht den Haken unten setzen.
NorbertFe 2.277 Geschrieben 9. Februar 2020 Melden Geschrieben 9. Februar 2020 Er will EIN Zertifikat an viele Nutzer verteilen. Und zwar garantiert ein externes. Da hilft dir die eigene ca gar nix. Und Skripten würde ich sowas auch nicht, denn das widerspricht irgendwie dem Sicherheitsgedanken wenn man private keys irgendwie „verteilt“.
NilsK 3.045 Geschrieben 9. Februar 2020 Melden Geschrieben 9. Februar 2020 Moin, ich halte dieses Anliegen für nicht supportfähig. Ein Userzertifikat soll die Identität eines (eines!) Users bestätigen. Und ein privater Schlüssel hat per definitionem geheim zu bleiben. Ein bestimmtes Userzertifikat mit privatem Schlüssel bei mehreren Usern einzusetzen, widerspricht daher fundamental den Grundsätzen zertifikatsbasierter Authentifizierung bzw. Verschlüsselung. Gruß, Nils
mwiederkehr 395 Geschrieben 9. Februar 2020 Melden Geschrieben 9. Februar 2020 Es gibt schon Fälle, bei denen ein „User“-Zertifikat von mehreren Benutzern genutzt werden soll. Beim Schweizer Zoll muss man ein Zertifikat beantragen, wenn man Warendeklarationen elektronisch einliefern will. Pro Firma bekommt man ein Zertifikat. Dieses installiert man dann bei allen Benutzern, die sich beim Zoll einloggen müssen. Technisch ist das über ein Script lösbar: https://www.jasonpearce.com/2012/02/02/import-pfx-certificate-via-group-policy-preferences/ 1 1
NorbertFe 2.277 Geschrieben 9. Februar 2020 Melden Geschrieben 9. Februar 2020 Toll ein Import mit batch und Klartextpassword. Ich denke es wird klar, warum Nils und ich unsere Aussagen getroffen haben.
NilsK 3.045 Geschrieben 9. Februar 2020 Melden Geschrieben 9. Februar 2020 Moin, und, ist dem Schweizer Zoll schon mal jemand aufs Dach gestiegen? Wenn das tatsächlich so vorgesehen ist und nicht nur eine Bequemlichkeits- oder Kostensparlösung, dann ist das ein Skandal ersten Ranges. Gruß, Nils
mwiederkehr 395 Geschrieben 9. Februar 2020 Melden Geschrieben 9. Februar 2020 Musste das nur mal einrichten. Es ist mir nicht bekannt, ob es da mal Diskussionen gab. Eher nicht, weil ist ja bequem... Wobei man sich soweit ich weiss trotz Zertifikat mit Username und Passwort anmelden muss. Der User könnte dann persönlich sein. Das Zertifikat diente dann nur dazu, dass sich Mitarbeiter nicht von zuhause anmelden können oder so.
NilsK 3.045 Geschrieben 9. Februar 2020 Melden Geschrieben 9. Februar 2020 Moin, wenn sie Zugriff auf den Private Key haben, hindert sie nichts daran, diesen zu exportieren. Ich verstehe ja, dass Zertifikate und das ganze Drumrum nicht einfach zu kapieren sind. Aber müssen auch Profis (also Leute, die Geld dafür bekommen) deshalb immer wieder so grundlegende Fehler machen? Kann man dann nicht lieber auf Zertifikate verzichten, damit man sich wenigstens nicht in Sicherheit wiegt? Gruß, Nils 1
Lemgo 0 Geschrieben 9. Februar 2020 Autor Melden Geschrieben 9. Februar 2020 @mwiederkehr danke für deinen Lösungsansatz, werde das mal testen. 1
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden